TR/Vundo.Gen lässt sich nicht löschen!!!

#1 Hallo ihr.
Ich wurde auf dieses Forum hingewiesen und hoffe man kann mir hier helfen. Ich habe schon seit gut 2-3 Wochen einen nervigen Trojaner. Ja ich weiß das ist sehr blöd so lange einen Virus zu haben und sich nicht drum zu kümmern. Ich habe mindestens 10 Antivir checks gemacht aber nichts gefunden. Der Name ist wie oben steht TR/Vundo.Gen und meist tritt er in System32 als dll. oder in Dokumente und Einstellungen auf. Jetzt habe ich meinen Zugemüllten pc komplett aufgeraümt, unnötiges gelöscht, mehrfache scanns und Cleaner angewendet. Virus ist noch da. Aber mein pc um rund 70 GB leichter^^ Also hier sind meine Logs etc. Genaue Pfad des Viruses kann ich noch nicht angegeben. Er tritt alle paar Stunden ein, sobald er wieder auffällt poste ich die Pfade.

An manchen stellen habe ich einen Teil gelöscht bzw. ersetz da dort mein Reallife namen steht

1.Hijackthis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:51, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Scramby\voicetunerserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\DAP\DAP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Desktop\Protection\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {153EF6B4-B1C8-40C0-BAA5-A5286459548E} - C:\WINDOWS\system32\pmnlm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\ssttsst.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: ssttsst - C:\WINDOWS\SYSTEM32\ssttsst.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Voice Tuner (voicetuner) - RapidSolution - C:\Programme\Scramby\voicetunerserver.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 6553 bytes

2.Combofix

ComboFix 08-03-26.1 - (NAME ENTFERNT) 2008-03-27 16:32:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1670 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Desktop\Protection\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\ssttsst.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 09:55 . 2008-03-27 09:55 1 --a------ C:\Dokumente und Einstellungen\(NAME ENTFERNT)\SI.bin
2008-03-27 09:50 . 2008-03-27 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\MSNInstaller
2008-03-26 15:32 . 2008-03-26 15:32 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-26 15:32 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2008-03-26 15:32 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2008-03-26 15:32 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2008-03-26 15:32 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-03-26 15:32 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2008-03-26 15:32 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-03-26 15:31 . 2008-03-26 15:31 311 --a------ C:\WINDOWS\game.ini
2008-03-26 15:25 . 2008-03-26 15:25 <DIR> d-------- C:\Programme\Activision
2008-03-24 11:07 . 2008-03-24 11:18 <DIR> d-------- C:\swsetup
2008-03-23 07:50 . 1980-03-27 10:10 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\tor
2008-03-17 21:52 . 2003-03-22 08:25 <DIR> d-------- C:\Programme\VstPlugins
2008-03-17 21:52 . 2002-07-07 23:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-03-17 21:52 . 2006-06-20 09:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2008-03-14 15:11 . 2008-03-14 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-14 13:59 . 2008-03-14 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\(NAME ENTFERNT)\.DownloadManager
2008-03-12 10:43 . 2008-03-12 14:07 <DIR> d-------- C:\Programme\Vstep
2008-03-02 16:55 . 2008-03-27 09:44 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-02 02:36 . <DIR> C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Meine Die Schlacht um MittelerdeT II-Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2020-11-27 17:11 --------- d-----w C:\Programme\Ulead Systems
2008-03-27 15:37 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 08:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-27 08:53 --------- d-----w C:\Programme\EA GAMES
2008-03-27 08:42 --------- d-----w C:\Programme\Ubi Soft Games
2008-03-27 08:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-27 08:06 --------- d-----w C:\Programme\PokerStars.NET
2008-03-27 08:06 --------- d-----w C:\Programme\MIDI-Composer 1
2008-03-27 08:05 --------- d-----w C:\Programme\Atari
2008-03-27 07:50 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\TrueCrypt
2008-03-25 14:29 --------- d-----w C:\Programme\Ghost Control
2008-03-25 14:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ghost Controls
2008-03-13 21:04 --------- d-----w C:\Programme\SH3 Commander
2008-03-03 10:18 --------- d-----w C:\Programme\LucasArts
2008-03-02 02:04 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-01 18:44 --------- d-----w C:\Programme\Cain
2008-03-01 18:07 --------- d-----w C:\Programme\Ubisoft
2008-03-01 18:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-25 19:43 --------- d-----w C:\Programme\WinPcap
2008-02-23 11:20 --------- d-----w C:\Programme\Windows Messaging
2008-02-16 11:35 --------- d-----w C:\Programme\Rockstar Games
2008-02-14 20:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2008-02-14 20:50 --------- d-----w C:\Programme\AOL 9.0
2008-02-14 19:49 --------- d-----w C:\Programme\DAP
2008-02-03 18:08 --------- d-----w C:\Programme\Silkroad
2008-02-01 12:27 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\BellCraft.com
2008-01-31 14:07 --------- d-----w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\Apple Computer
2008-01-29 13:43 --------- d-----w C:\Programme\QuickTime
2008-01-29 13:43 --------- d-----w C:\Programme\iTunes
2008-01-29 13:43 --------- d-----w C:\Programme\iPod
2008-01-29 13:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-29 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-01-29 13:42 --------- d-----w C:\Programme\Apple Software Update
2008-01-29 13:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2005-12-11 16:52 22,328 ----a-w C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Anwendungsdaten\PnkBstrK.sys
1999-04-23 22:22 12 --sha-w C:\WINDOWS\system\WININETICMP32.drv
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 11:27 219520]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-24 12:44 7573504]
"nwiz"="nwiz.exe" [2006-11-24 12:44 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-24 12:44 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35 716800]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-05 20:26 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"Realtime Audio Engine"="mmrtkrnl.exe" [2007-07-18 15:52 70144 C:\WINDOWS\system32\mmrtkrnl.exe]
"DownloadAccelerator"="C:\Programme\DAP\DAP.exe" [2008-02-14 20:44 3057152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssttsst]
ssttsst.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=C:\WINDOWS\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Macro Express 3.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Macro Express 3.lnk
backup=C:\WINDOWS\pss\Macro Express 3.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Metacafe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Metacafe.lnk
backup=C:\WINDOWS\pss\Metacafe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk
backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^(NAME ENTFERNT)^Startmenü^Programme^Autostart^Metacafe.lnk]
path=C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Startmenü\Programme\Autostart\Metacafe.lnk
backup=C:\WINDOWS\pss\Metacafe.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^(NAME ENTFERNT)^Startmenü^Programme^Autostart^Voobys.lnk]
path=C:\Dokumente und Einstellungen\(NAME ENTFERNT)\Startmenü\Programme\Autostart\Voobys.lnk
backup=C:\WINDOWS\pss\Voobys.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
C:\Programme\AdVantage\AdVantage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-ra------ 2007-06-21 13:42 70952 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-09-26 01:52 50736 C:\Programme\Gemeinsame Dateien\AOL\1195834282\ee\AOLSoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1195834282\\ee\\aolsoftware.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\DAP\\DAP.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2005-12-12 14:51]
R2 voicetuner;Voice Tuner;C:\Programme\Scramby\voicetunerserver.exe [2007-03-10 15:35]
R3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 projectx1;projectx1;C:\DOKUME~1\LEIFRU~1\LOKALE~1\Temp\Rar$EX00.922\ProjectX3.0 (Private)\FelipeZe.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-03-17 06:30:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 16:37:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 16:38:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-27 15:38:44
14 Verzeichnis(se), 129,074,995,200 Bytes frei
16 Verzeichnis(se), 129,017,753,600 Bytes frei
3.Logfiles mittels datfind.bat
Hierzu muss ich sagen, ich habe lange ein falsches Datum meines Systems eingestellt. Habe es nie umgestellt darum sind diese Logs extrem unvollständig.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4

Verzeichnis von C:\WINDOWS\system32

27.03.2008 16:37 23.697 FFASTLOG.TXT
27.03.2008 16:37 51.048 nvapps.xml
27.03.2008 16:25 13.646 wpa.dbl
24.03.2008 22:46 103.108 AdobeFnt.lst
14.03.2008 17:13 1.425.288 FNTCACHE.DAT
01.03.2008 18:31 400.760 perfh009.dat
01.03.2008 18:31 75.186 perfc007.dat
01.03.2008 18:31 415.454 perfh007.dat
01.03.2008 18:31 62.422 perfc009.dat
01.03.2008 18:31 963.876 PerfStringBackup.INI
23.02.2008 12:22 6.256 mapisvc.inf
23.02.2008 12:21 69.632 system.mdw
14.02.2008 20:44 172.032 AniGIF.ocx
14.02.2008 20:44 479.298 wbocx.ocx
14.02.2008 20:44 50.688 wbhelp2.dll

2133 Datei(en) 437.240.448 Bytes
0 Verzeichnis(se), 129.024.925.696 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4

Verzeichnis von C:\DOKUME~1\LEIFRU~1\LOKALE~1\Temp

27.03.2008 17:00 104.347 datfind.txt
27.03.2008 16:59 32.768 ~WRS0000.tmp
27.03.2008 16:58 512 ~DFD04E.tmp
3 Datei(en) 137.627 Bytes
0 Verzeichnis(se), 129.024.950.272 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4

Verzeichnis von C:\WINDOWS

27.03.2008 16:43 462.159 WindowsUpdate.log
27.03.2008 16:37 227 system.ini
27.03.2008 16:37 0 0.log
27.03.2008 16:37 2.048 bootstat.dat
27.03.2008 16:36 32.628 SchedLgU.Txt
27.03.2008 15:59 994 win.ini
27.03.2008 15:50 108 GMouse.ini
27.03.2008 09:52 54.156 QTFont.qfn
26.03.2008 15:31 311 game.ini
14.03.2008 14:22 41.984 ArtGalry.cag
25.02.2008 11:52 7.680 (NAME ENTFERNT).pcb
23.02.2008 19:06 262.144 outlook.pst
23.02.2008 19:05 23.580 Microsoft Outlook.FAV
23.02.2008 19:05 8.674 extend.dat
23.02.2008 12:23 15.348 (NAME ENTFERNT).acl
23.02.2008 12:22 22 exchng.ini
23.02.2008 12:22 634 ODBC.INI
23.02.2008 12:22 4.348 ODBCINST.INI
22.02.2008 15:51 443 WPE PRO.INI
13.02.2008 10:42 1.816 TSearch.INI
12.02.2008 10:59 754 WORDPAD.INI

86 Datei(en) 11.553.046 Bytes
0 Verzeichnis(se), 129.024.946.176 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CE9-F1F4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03.11.2007 16:58 65 desktop.ini
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
25.07.2002 16:05 172.032 isusweb.dll
4 Datei(en) 393.281 Bytes
0 Verzeichnis(se), 129.024.946.176 Bytes frei

4.Symtome
Keine speziellen festgestellt, tritt willkürlich auf, bzw nicht beim ausführen speizieller Dateien/Programme.

Hoffe ihr könnt mir helfen

#2 Hallo,

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {153EF6B4-B1C8-40C0-BAA5-A5286459548E} - C:\WINDOWS\system32\pmnlm.dll

O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\ssttsst.dll

O20 - Winlogon Notify: ssttsst - C:\WINDOWS\SYSTEM32\ssttsst.dll

««
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
scanne + lasse alles gefundene entfernen
http://virus-protect.org/artikel/tools/malwarebytes.html

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen dank. Ich bin nichtmal da zu gekommen ihn zu loeschen. Da ich Hijackthis vor Combofix laufen lassen hab, zeigte es mir da den virus noch an. Aber combofix hat den wohl gelöscht. Vielen dank trotzdem für die Hilfe Kann man so immer viruse finden? solche strings finden in denen etwas keinen Namen hat?

#4 nein so kann man das nciht. (immer)

#5 Hallo zusammen
Ich habe das selbe problem mit dem TR/Vundo.Gen
Könntet ihr mir schritt für schritt helfen da ich übehraupt nicht klar komme.

Danke schön im voraus

#6 raphi87

wende CCl eaner und combofix an - von Combofix postest du dann das log, was erstellt wird (ist alles auf der seite erKlärt)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi zusammen, hab ihn auch. Hier das Ergebnis von datfind:

Verzeichnis von c:\

10.04.2008 17:52 0 dirdat.txt
10.04.2008 17:31 468.766.720 hiberfil.sys
10.04.2008 17:31 704.643.072 pagefile.sys
10.04.2008 11:47 898 VundoFix.txt
05.04.2008 14:52 211 BOOT.INI

Verzeichnis von C:\WINDOWS\system32

10.04.2008 17:32 54.112 vsconfig.xml
10.04.2008 12:30 976 history.aaw
10.04.2008 12:30 2.544 settings.aaw
10.04.2008 12:29 235.121 mpqss.ini
10.04.2008 12:27 233.808 mpqss.ini2
10.04.2008 09:48 3.648 rjjfqeys.dll
10.04.2008 09:46 88.640 axwernke.dll
10.04.2008 09:46 0 clkcnt.txt
08.04.2008 23:25 3.648 kwgigwqt.dll
06.04.2008 18:22 138.848 FNTCACHE.DAT
06.04.2008 16:01 38.400 vtusttt.dll
06.04.2008 15:59 38.400 xxyywwv.dll
06.04.2008 15:18 38.400 vtursss.dll
06.04.2008 14:00 38.400 tuvsrqq.dll
06.04.2008 13:55 38.400 efcbxxw.dll
06.04.2008 13:43 38.400 wvutsts.dll
04.04.2008 16:31 306.432 TuneUpDefragService.exe
03.04.2008 11:07 1.158 wpa.dbl
21.03.2008 15:04 23.440 jupdate-1.6.0_05-b13.log
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
11.01.2008 06:33 44.544 pngfilt.dll


Verzeichnis von C:\WINDOWS

10.04.2008 17:51 101.157 BM251a25c3.xml
10.04.2008 17:38 5.549 BM251a25c3.txt
10.04.2008 17:37 22 pskt.ini
10.04.2008 17:32 97 ComponentList.xml
10.04.2008 17:32 159 wiadebug.log
10.04.2008 17:31 0 0.log
10.04.2008 17:31 2.048 bootstat.dat
10.04.2008 12:29 32.544 SchedLgU.Txt
10.04.2008 12:29 50 wiaservc.log
10.04.2008 12:29 841 WindowsUpdate.log
09.04.2008 23:21 155 winamp.ini
05.04.2008 14:52 664 win.ini
05.04.2008 14:52 277 system.ini
03.04.2008 11:08 4.232 ModemLog_Agere Systems AC'97 Modem.txt
09.03.2008 16:18 212 Clony2.ini
05.03.2008 13:00 1.538.824 CISUnins.exe
05.03.2008 13:00 1.538.824 CICUnins.exe


Verzeichnis von C:\DOKUME~1\Bush-d\LOKALE~1\Temp

10.04.2008 17:51 22.230 b240x400.tmp
10.04.2008 17:51 22.230 b120x600.tmp
10.04.2008 17:51 22.230 b120x90.tmp
10.04.2008 17:51 22.230 b728x90.tmp
10.04.2008 17:51 22.230 b720x300.tmp
10.04.2008 17:51 22.230 b468x60.tmp
10.04.2008 17:51 22.230 b336x280.tmp
10.04.2008 17:51 22.230 b300x250.tmp
10.04.2008 17:51 22.230 b300x100.tmp
10.04.2008 17:51 22.230 b250x250.tmp
10.04.2008 17:51 22.230 b125x125.tmp
10.04.2008 17:51 22.230 b234x60.tmp
10.04.2008 17:51 22.230 b180x150.tmp
10.04.2008 17:51 22.230 b160x600.tmp
10.04.2008 17:51 22.230 b120x240.tmp
10.04.2008 17:34 2.309 libFNP_events.log
10.04.2008 11:47 4 Twain001.Mtx
10.04.2008 11:47 669 TWAIN.LOG
10.04.2008 11:47 156 Twunk001.MTX
10.04.2008 10:24 4.800 Z@R33.tmp
10.04.2008 10:24 1.409 Z@S34.tmp
10.04.2008 10:24 9.392 Z@R31.tmp
10.04.2008 10:24 1.409 Z@S32.tmp
10.04.2008 10:24 1.409 Z@S30.tmp
10.04.2008 10:24 11.324 Z@R2F.tmp
10.04.2008 10:23 1.409 Z@S2C.tmp
10.04.2008 10:23 1.409 Z@S2E.tmp
10.04.2008 10:23 19.768 Z@R2B.tmp
10.04.2008 10:23 23.456 Z@R2D.tmp
10.04.2008 10:22 8.264 Z@R27.tmp
10.04.2008 10:22 8.060 Z@R29.tmp
10.04.2008 10:22 1.409 Z@S28.tmp
10.04.2008 10:22 1.409 Z@S2A.tmp
10.04.2008 10:22 10.988 Z@R25.tmp
10.04.2008 10:22 1.409 Z@S26.tmp
10.04.2008 10:08 1.409 Z@S10.tmp
10.04.2008 10:08 17.576 Z@RF.tmp
10.04.2008 10:08 1.409 Z@SE.tmp
10.04.2008 10:08 4.496 Z@RD.tmp
10.04.2008 10:08 1.409 Z@SC.tmp
10.04.2008 10:08 13.968 Z@RB.tmp
10.04.2008 10:08 1.409 Z@SA.tmp
10.04.2008 10:08 14.828 Z@R9.tmp
10.04.2008 10:08 16.856 Z@R7.tmp
10.04.2008 10:08 1.409 Z@S8.tmp
10.04.2008 10:06 3.651 Acr4CCC.tmp
10.04.2008 10:04 0 Twunk002.MTX
10.04.2008 09:40 3.668 cnv2.tmp
09.04.2008 23:23 208 java_install_reg.log
09.04.2008 22:38 0 fla6.tmp
08.04.2008 23:35 32.768 ~DFA926.tmp
08.04.2008 18:47 3.668 cnv1.tmp
07.04.2008 23:53 16.384 ~DF5D3B.tmp
07.04.2008 23:53 16.384 ~DFEBFB.tmp
07.04.2008 22:29 32.768 ~DF1C10.tmp
07.04.2008 18:22 927.435 nvcbin.def.DD0B6467.TMP
06.04.2008 23:31 480 output1207517470859
06.04.2008 23:27 624 output1207517258359
06.04.2008 23:04 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}18783.html
06.04.2008 16:01 43 removalfile.bat
06.04.2008 16:01 53.760 Keygen.exe
06.04.2008 15:23 1.600 {AC76BA86-1033-F400-7760-000000000003}.ini
06.04.2008 13:59 265.949.336 Acrobat Pro 8.1.exe
06.04.2008 02:11 3.668 cnv3F.tmp
05.04.2008 10:24 3.668 cnv4E.tmp

Wäre super wenn ihr mir sagen könntet, was ich in den Avenger kopieren muss. Danke schon im Voraus für eure Hilfe

#8 Hallo Bush-d

«
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop

öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b240x400.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b120x600.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b120x90.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b728x90.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b720x300.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b468x60.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b336x280.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b300x250.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b300x100.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b250x250.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b125x125.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b234x60.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b180x150.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b160x600.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\b120x240.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\cnv1.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\cnv2.tmp
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\removalfile.bat
C:\Dokumente und Einstellungen\Bush-d\Lokale Einstellungen\Temp\Keygen.exe
C:\WINDOWS\system32\history.aaw
C:\WINDOWS\system32\settings.aaw
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\system32\rjjfqeys.dll
C:\WINDOWS\system32\axwernke.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\kwgigwqt.dll
C:\WINDOWS\system32\vtusttt.dll
C:\WINDOWS\system32\xxyywwv.dll
C:\WINDOWS\system32\vtursss.dll
C:\WINDOWS\system32\tuvsrqq.dll
C:\WINDOWS\system32\efcbxxw.dll
C:\WINDOWS\system32\wvutsts.dll

Klicke auf den Roten MoveIt!

wende CCl eaner und combofix an - von Combofix postest du dann das log, was erstellt wird (ist alles auf der seite erKlärt)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit