TR/Vundo ist hartnäckig wie Unkraut

#0
03.04.2008, 22:20
...neu hier

Beiträge: 3
#1 Hallo,

mein System ist mit dem Trojaner TR/Vundo infiziert und AntiVir bekommt ihn nicht klein. Jegliche Versuche sind gescheitert. Ich habe jetzt mit dem CCleaner alles bereinigt, danach Combofix gestartet und anschließend HiJackthis
Das ist, was dabei rum gekommen ist an log - Dateien aus dem Editor:

Combofix:

ComboFix 08-04-02.1 - Tiffy 2008-04-03 21:41:49.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.202 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tiffy\Desktop\Vundo\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\ssqqPGWP.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-03 21:06 . 2008-04-03 21:06 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 13:29 . 2008-04-03 16:00 <DIR> d-------- C:\VundoFix Backups

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 19:41 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\OpenOffice.org2
2008-04-03 19:33 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\SmartSurfer
2008-04-03 19:06 --------- d-----w C:\Programme\Yahoo!
2008-04-03 14:04 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\SmartSurfer
2008-04-03 11:03 --------- d-----w C:\Programme\ICQToolbar
2008-03-29 13:24 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\SmartSurfer
2008-02-29 12:43 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\ICQ Toolbar
2008-02-23 12:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-02-14 18:56 --------- d-----w C:\Programme\Opera
2008-02-13 15:31 --------- d-----w C:\Programme\ICQ6
2008-02-10 21:44 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-02-10 21:42 --------- d-----w C:\Programme\Microsoft Games
2008-02-10 21:22 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\DAEMON Tools
2008-02-10 21:16 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-05 15:34 --------- d-----w C:\Programme\DVD Shrink
2007-12-16 20:23 70 ----a-w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\wklnhst.dat
2007-02-26 14:24 6,615,752 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-04-03_21.38.38.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-03 14:05:56 64,656 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-04-03 19:38:25 64,656 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-03 14:05:56 53,572 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-03 19:38:25 53,572 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-03 14:05:56 392,842 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-04-03 19:38:25 392,842 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-03 14:05:56 381,828 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-03 19:38:25 381,828 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0208C4D3-03A9-4155-8B74-D77F7DA28F18}]
C:\WINDOWS\system32\geBtQkHA.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F24DC5E-19D4-4995-B419-2A5FC95F52A6}]
C:\WINDOWS\system32\byXPJCVp.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 01:00 1211176]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 21:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"LXBLKsk"="C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe" [2003-03-26 11:11 282624]
"MemoryCardManager"="C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe" [2003-04-28 17:29 122880]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-09 15:58 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-25 12:34 249896]
"Arcor Online"="" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"Windows live Messenger"="msn.com" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
CAPIControl.lnk - C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe [2003-04-03 17:58:38 274432]
HomeNet Control.lnk - C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe [2002-09-19 16:44:32 81920]
m-trip Launcher.lnk - C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe [2007-11-04 22:36:10 53248]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 11:04]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 11:04]
R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2003-04-03 15:48]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36]
R2 SmartSurferManager;SmartSurfer Manager;"C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe" [2007-09-10 16:47]
R3 dtwmnic5;Telekom Eumex 704PC DSL;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2002-12-20 11:04]
S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 15:04]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2003-03-25 20:30]

.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 18:52:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 21:43:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 21:44:39
ComboFix-quarantined-files.txt 2008-04-03 19:44:24
24 Verzeichnis(se), 56,620,695,552 Bytes frei
26 Verzeichnis(se), 56,608,489,472 Bytes frei
.
2008-03-12 16:56:14 --- E O F ---


HiJack - Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:49, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\MrobeService.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tiffy\Desktop\HiJack\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0208C4D3-03A9-4155-8B74-D77F7DA28F18} - C:\WINDOWS\system32\geBtQkHA.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F24DC5E-19D4-4995-B419-2A5FC95F52A6} - C:\WINDOWS\system32\byXPJCVp.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows live Messenger] msn.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: m-trip Launcher.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E656997F-48C6-4865-93C9-C27054E2EDD8}: NameServer = 195.129.111.50 195.129.111.49
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MrobeService - OLYMPUS IMAGING CORP. - C:\WINDOWS\system32\MrobeService.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe

--
End of file - 10196 bytes


datfind.bat - log

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12

Verzeichnis von C:\WINDOWS\system32

03.04.2008 21:38 381.828 perfh009.dat
03.04.2008 21:38 392.842 perfh007.dat
03.04.2008 21:38 53.572 perfc009.dat
03.04.2008 21:38 64.656 perfc007.dat
03.04.2008 21:38 902.476 PerfStringBackup.INI
03.04.2008 21:34 1.158 wpa.dbl
05.03.2008 18:30 19.148.408 MRT.exe
11.01.2008 07:32 44.544 pngfilt.dll

2091 Datei(en) 470.457.255 Bytes
0 Verzeichnis(se), 56.620.797.952 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12

Verzeichnis von C:\DOKUME~1\Tiffy\LOKALE~1\Temp

03.04.2008 22:17 102.367 datfind.txt
03.04.2008 22:04 114.688 ~DF4D51.tmp
03.04.2008 21:53 128 WCESCOMM.LOG
03.04.2008 21:35 0 JETBA62.tmp
03.04.2008 21:34 222.319 WCESLog.log
5 Datei(en) 439.502 Bytes
0 Verzeichnis(se), 56.620.822.528 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12

Verzeichnis von C:\WINDOWS

03.04.2008 21:44 53.248 PSEXESVC.EXE
03.04.2008 21:43 227 system.ini
03.04.2008 21:34 22 FLASHKSK.INI
03.04.2008 21:34 3.230 LXBLCAH.ini
03.04.2008 21:34 0 0.log
03.04.2008 21:34 6.104 ModemLog_Bluetooth DUN Modem.txt
03.04.2008 21:34 6.098 ModemLog_Bluetooth Fax Modem.txt
03.04.2008 21:34 4.880 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
03.04.2008 21:34 159 wiadebug.log
03.04.2008 21:34 1.956.345 WindowsUpdate.log
03.04.2008 21:34 50 wiaservc.log
03.04.2008 21:33 2.048 bootstat.dat
03.04.2008 21:32 32.618 SchedLgU.Txt
02.04.2008 22:03 116 NeroDigital.ini
25.03.2008 17:12 550 lexstat.ini
09.03.2008 16:04 54.156 QTFont.qfn
14.02.2008 18:54 335 mozregistry.dat

0 Verzeichnis(se), 56.620.818.432 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12

Verzeichnis von C:\WINDOWS\temp

03.04.2008 21:56 18.104 smurfver.xml
1 Datei(en) 18.104 Bytes
0 Verzeichnis(se), 56.620.818.432 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12
Seitenanfang Seitenende
03.04.2008, 23:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 1.
Java
Dein Java software ist veraltet,
Download jre-6u5-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 5
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u5-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)

Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u5-windows-i586-p.exe
-

2.
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: (no name) - {0208C4D3-03A9-4155-8B74-D77F7DA28F18} - C:\WINDOWS\system32\geBtQkHA.dll (file missing)

O2 - BHO: (no name) - {2F24DC5E-19D4-4995-B419-2A5FC95F52A6} - C:\WINDOWS\system32\byXPJCVp.dll (file missing)

O4 - HKLM\..\Run: [Windows live Messenger] msn.com

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


3.
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt

4.
OTMoveIt.exe
http://www.virus-protect.org/artikel/tools/otmoveIt.html
OTMoveIt2 zum Desktop
Starte OTMoveIt2
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

5.
Malwarebytes Anti-Malware
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu



«
__________
MfG Argus
Seitenanfang Seitenende
06.04.2008, 00:27
...neu hier

Themenstarter

Beiträge: 3
#3 ich habe alles abgearbeitet, hier die mbam log-Datei:

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 594

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|K:\|)
Objekte gescannt: 134443
Scan Dauer: 1 hour(s), 21 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproductsinstaller.start.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d1-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d3-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-86bd-fd60bb9aae3a} (Adware.OneToolBar) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Seitenanfang Seitenende
06.04.2008, 02:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 es müsste wieder alles i.o. sein.
du kannst noch mal mit Antivirus im abgesicherten modus scannen (die Heuristik hochstellen)
http://board.protecus.de/t23979.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2008, 20:34
...neu hier

Themenstarter

Beiträge: 3
#5 Vielen dank echt super, dass es Foren wie dieses und Moderatoren wie euch gibt...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »