VR/Vundo.Gen ...

Thema ist geschlossen!
Thema ist geschlossen!
#0
16.04.2008, 07:38
...neu hier

Beiträge: 10
#1 Achja, bei mir hat sich ein Virus namens VR/Vundo.Gen eingeschlichen. Ich lösche ihn zwar, bekomm ihn aber nicht weg. Zudem taucht er, wenn ich auch "löschen" klicke, später wieder auf. Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 07:37:52, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C14E6230-757D-4246-81CE-B34E2940C722} - C:\WINDOWS\system32\geBqOhFy.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CryptLoad] C:\Dokumente und Einstellungen\Rene\Desktop\CryptLoad_1.0.4\RouterClient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48676DD1-B937-4200-8EAD-7AE7F890E7CE}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBqOhFy - C:\WINDOWS\SYSTEM32\geBqOhFy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe


Danke für eure Hilfe. x)

Ps: Kann aber erst um 14:00 Uhr wieder antworten. ;)
Dieser Beitrag wurde am 16.04.2008 um 07:45 Uhr von Cheat2Win editiert.
Seitenanfang Seitenende
16.04.2008, 07:43
Moderator

Beiträge: 5694
#2 Hallo Cheat2win

>>
wende Cleaner an
http://www.ccleaner.de/?protecus.de

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat:

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {C14E6230-757D-4246-81CE-B34E2940C722} - C:\WINDOWS\system32\geBqOhFy.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O20 - Winlogon Notify: geBqOhFy -
C:\WINDOWS\SYSTEM32\geBqOhFy.dll

und wähle fix checked. + starte den Rechner neu.

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

««
wende rxaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

>>
Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Seitenanfang Seitenende
16.04.2008, 08:11
...neu hier

Themenstarter

Beiträge: 10
#3 Ist es schlimm, wenn ich einen schnellen Scan mache?

Ich melde mich, wie gesagt, erst um 14:00.
Seitenanfang Seitenende
16.04.2008, 08:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4

Zitat

Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren". durchfuehren

__________
MfG Argus
Seitenanfang Seitenende
16.04.2008, 14:52
...neu hier

Themenstarter

Beiträge: 10
#5 So, zurück von der Schule und hab's direkt so gemacht:

~ Punkt 1 ~

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Schnell Scan
Objekte gescannt: 38059
Scan Dauer: 12 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\hgGyxVLE.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4b55ed53-38cf-4c18-9e1e-98bef051b5b2} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4b55ed53-38cf-4c18-9e1e-98bef051b5b2} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.Fakealert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggyxvle -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\win32GI (Backdoor.Bifrose) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\hgGyxVLE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ELVxyGgh.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ELVxyGgh.ini2 (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Sebbe\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.



~ Punkt 2 ~

---RVAXO.exe Updated: 2008-04-16---first run---
Uninstallers:

Files found:
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\npqtsrak.exe

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------




~ Punkt 3 ~

ComboFix 08-04-15.1 - Rene 2008-04-16 14:40:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.873 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Rene\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\geBqOhFy.dll
C:\WINDOWS\system32\iifddaBQ.dll
C:\WINDOWS\system32\QBaddfii.ini
C:\WINDOWS\system32\QBaddfii.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

2008-04-16 14:34 . 2008-04-16 14:35 <DIR> d-------- C:\RVAXO
2008-04-16 14:31 . 2008-04-16 11:11 791,214 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-16 14:31 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Malwarebytes
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-04-16 07:47 . 2008-04-16 07:47 <DIR> d-------- C:\Programme\CCleaner
2008-04-15 22:08 . 2004-08-04 14:00 452,647 -ra------ C:\txtsetup.sif
2008-04-15 22:08 . 2004-08-04 14:00 262,448 -ra------ C:\$LDR$
2008-04-15 20:24 . 2008-04-15 20:24 <DIR> d-------- C:\VundoFix Backups
2008-04-15 20:09 . 2008-04-16 14:10 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-15 20:09 . 2008-04-16 14:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-04-15 18:26 . 2008-04-15 18:29 2,770 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-15 18:18 . 2008-04-15 18:18 <DIR> d-------- C:\Programme\Windows Defender
2008-04-15 17:41 . 2008-04-15 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\TmpRecentIcons
2008-04-15 16:13 . 1999-10-15 12:50 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2008-04-15 16:13 . 1999-01-28 15:44 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2008-04-15 15:58 . 2008-04-15 15:58 4,808 --a------ C:\WINDOWS\system32\gaeffect.sti
2008-04-15 15:58 . 2008-04-15 16:13 3,176 --a------ C:\WINDOWS\system32\gafilter.sti
2008-04-15 15:58 . 2008-04-15 16:08 579 --ah----- C:\os466477.bin
2008-04-15 15:58 . 2008-04-15 16:08 461 --ah----- C:\WINDOWS\system32\ws344069.ocx
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\WINDOWS\PreviewSoft
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\WINDOWS\Noslip
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\Programme\Ulead Systems
2008-04-15 15:57 . 2008-04-15 16:27 326 --a------ C:\WINDOWS\ULEAD32.INI
2008-04-13 14:09 . 2008-04-13 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\dvdcss
2008-04-13 14:06 . 2008-04-13 14:06 67 --a------ C:\WINDOWS\#1 DVD Ripper.INI
2008-04-13 14:03 . 2008-04-13 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\GetRightToGo
2008-04-13 13:50 . 2008-04-13 13:56 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-04-13 13:50 . 2008-04-13 13:50 43,698 --a------ C:\WINDOWS\system32\xvid-uninstall.exe
2008-04-13 13:46 . 2006-12-19 09:53 1,872,821 --a------ C:\WINDOWS\system32\cygwin1.dll
2008-04-13 13:46 . 2006-10-17 22:29 487,479 --a------ C:\WINDOWS\system32\SkinMagic.dll
2008-04-13 13:46 . 2006-10-16 01:10 66,048 --a------ C:\WINDOWS\system32\cygz.dll
2008-04-13 13:30 . 1999-09-10 12:06 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-04-13 13:30 . 1999-09-10 12:06 25,244 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-04-13 13:30 . 1999-09-10 12:06 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2008-04-13 13:30 . 1999-09-10 12:06 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2008-04-13 13:25 . 2008-04-13 13:26 <DIR> d-------- C:\Movavi files
2008-04-13 13:23 . 2008-04-13 13:27 42 --a------ C:\WINDOWS\IniFile1.ini
2008-04-13 13:12 . 2008-04-13 13:12 <DIR> d-------- C:\Programme\Apex
2008-04-13 13:12 . 2001-08-23 17:00 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-04-13 13:12 . 2002-01-05 14:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-04-13 13:02 . 2001-11-14 20:59 53,282 --a------ C:\WINDOWS\system32\ATimer.dll
2008-04-13 13:01 . 2008-04-13 13:01 41,476 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2008-04-13 13:01 . 2004-07-30 01:15 28,160 --a------ C:\WINDOWS\system32\tuscaenc.dll
2008-04-11 23:57 . 2008-04-11 23:57 <DIR> d-------- C:\Programme\LitexMedia
2008-04-11 23:57 . 2003-03-19 11:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-10 19:36 . 2008-04-10 19:36 <DIR> d-------- C:\Programme\VB5CCE
2008-04-10 19:36 . 1997-01-14 23:10 2,495 --a------ C:\WINDOWS\system32\ComDlg32.dep
2008-04-10 19:36 . 1997-02-28 15:24 2,495 --a------ C:\WINDOWS\system32\ComCtl32.dep
2008-04-09 20:53 . 2008-04-09 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TVU networks
2008-04-09 20:35 . 2008-04-09 20:35 <DIR> d-------- C:\Programme\TVAnts
2008-04-08 19:44 . 2008-04-08 19:44 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\teamspeak2
2008-04-08 19:43 . 2008-04-08 19:43 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-04-08 19:42 . 2008-04-09 17:38 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-04-08 19:13 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-08 19:13 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-07 22:33 . 2008-04-07 22:33 188 --a------ C:\WINDOWS\usdthank.ini
2008-04-07 22:33 . 2008-04-07 22:33 31 --a------ C:\WINDOWS\idc.ini
2008-04-07 14:27 . 2008-04-07 14:27 <DIR> d-------- C:\WINDOWS\nview
2008-04-07 14:27 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-04-07 14:27 . 2007-12-05 02:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-04-07 14:27 . 2008-04-07 15:13 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-04-07 14:27 . 2007-12-05 02:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-04-07 13:29 . 2008-04-07 13:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-04-07 13:22 . 2008-04-07 13:22 <DIR> d-------- C:\Programme\EA GAMES
2008-04-06 01:03 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-04-06 01:03 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-04-05 23:31 . 2008-04-11 23:58 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-04-05 23:31 . 2008-04-05 23:31 356,352 --a------ C:\WINDOWS\eSellerateEngine.dll
2008-04-05 23:29 . 2008-04-05 23:29 <DIR> d-------- C:\Programme\Deskshare
2008-04-05 21:14 . 2008-04-05 21:20 <DIR> d-------- C:\Programme\uTorrent
2008-04-05 18:43 . 2008-04-05 18:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-05 18:42 . 2008-03-28 01:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-05 18:42 . 2008-04-05 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-05 17:35 . 2008-03-28 13:19 256 -rahs---- C:\BOOT.BKK
2008-04-05 17:16 . 2008-04-05 17:16 <DIR> d-------- C:\Programme\themexp
2008-04-05 16:45 . 2008-04-05 16:45 <DIR> d-------- C:\Programme\Hamachi
2008-04-05 16:45 . 2008-04-13 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Hamachi
2008-04-05 16:45 . 2008-04-05 16:45 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-05 14:45 . 2008-04-13 22:54 <DIR> d-------- C:\Programme\Valve
2008-04-05 01:41 . 2008-04-05 01:41 <DIR> d-------- C:\Programme\Shutdown4U
2008-04-04 21:53 . 2008-04-04 21:53 158 --a------ C:\WINDOWS\TSDataEx.ini
2008-04-04 20:38 . 2008-04-04 20:38 <DIR> d-------- C:\Programme\Microsoft Games
2008-04-04 14:51 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-04 14:51 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-04-04 14:34 . 2008-04-04 14:34 <DIR> d-------- C:\Train Store
2008-04-03 21:49 . 2008-04-05 21:57 0 --a------ C:\FileOut.Cns
2008-04-03 21:49 . 2008-04-05 21:57 0 --a------ C:\FileIn.Cns
2008-04-03 21:03 . 2008-04-03 21:03 <DIR> d-------- C:\Programme\Nero
2008-04-03 21:03 . 2008-04-03 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero
2008-04-03 21:03 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2008-04-03 21:03 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2008-04-03 21:03 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 21:14 --------- d-----w C:\Programme\Nvidia
2008-04-15 14:13 --------- d--h--w C:\Programme\InstallShield Installation Information
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Arcor Online"="" []
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-03-21 10:30 486856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CryptLoad"="C:\Dokumente und Einstellungen\Rene\Desktop\CryptLoad_1.0.4\RouterClient.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Arcor Online"="" []
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 07:29 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\Rene\\Desktop\\utorrent.exe"=
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\Valve\\hltv.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\EA GAMES\\Need for Speed Underground 2\\speed2.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\TVAnts\\Tvants.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-05-12 16:01]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
S3 PIBus;PIBus Device;C:\WINDOWS\system32\DRIVERS\PIBus.sys []
S3 PIKbd;PI Virtual Keyboard;C:\WINDOWS\system32\DRIVERS\PIKbd.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-04-16 12:47:41 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 14:44:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 14:48:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-16 12:48:25

18 Verzeichnis(se), 101,296,574,464 Bytes frei
22 Verzeichnis(se), 101,306,540,032 Bytes frei
.
2008-04-15 16:54:41 --- E O F ---
Seitenanfang Seitenende
16.04.2008, 14:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Cheat2Win

Zitat

No action taken.
scanne noch mal mit Malwarebytes, vergiss nicht, nach dem Scan alles gefundene löschen zu lassen.
dann poste den neuen Report.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 15:00
...neu hier

Themenstarter

Beiträge: 10
#7 Per Malwarebytes oder manuell, da die Viren ja gefunden wurden?

Ach, und noch etwas: Soll ich den zweiten und dritten Punkt nochmal wiederholen?

Hm, okay, die Viren wurden noch in der Quarantäne angezeigt, hab sie da gelöscht. In Ordnung?

Danke
Dieser Beitrag wurde am 16.04.2008 um 15:10 Uhr von Cheat2Win editiert.
Seitenanfang Seitenende
16.04.2008, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 per Malwarebytes - du hast gescannt und dann nichts entfernen lassen ;) - No action taken.
dann mache bitte einen Onlinescan mit Bitdefender + poste hier den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 15:36
...neu hier

Themenstarter

Beiträge: 10
#9 So, hab's nochmal mit Malwarebytes gescannt:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Schnell Scan
Objekte gescannt: 37380
Scan Dauer: 9 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Jetzt mach ich's nochmal mit dem Bitdefender. Dauert zwar ein bisschen, aber egal.
Seitenanfang Seitenende
16.04.2008, 15:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 poste dann das log , wenn der scan durch ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2008, 17:15
...neu hier

Themenstarter

Beiträge: 10
#11 Eine Frage: Beim Scan, wenn ein Virus auftaucht, wird dieser dann darauf direkt gelöscht?!

Danke


Edit: Bin fertig ;)

-----------------

Detected with: Application.Keygen.Xpstyle.R

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP53\A0018721.exe


Disinfection failed

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP53\A0018721.exe


Deleted

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


Infected with: Packer.PESpin.A

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


Disinfection failed

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


edit (Sabina)
Dieser Beitrag wurde am 16.04.2008 um 18:21 Uhr von Cheat2Win editiert.
Seitenanfang Seitenende
16.04.2008, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo,

am Ende vom scan, kann man alles gefundene löschen lassen - du hast alles korrekt gemacht ...deleted

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

dann bügel noch mal mit F-secure/Onlinescan drüber, dann sollte wieder alles o.k. sein ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2008, 14:39
...neu hier

Themenstarter

Beiträge: 10
#13 Perfekt. Vielen Dank an dich, Arnold und Tonstudio. ;)

Klasse Arbeit. ;)
Seitenanfang Seitenende
17.04.2008, 15:00
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp
Schliesse alle Fenster
Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: