VR/Vundo.Gen ...

#1 Achja, bei mir hat sich ein Virus namens VR/Vundo.Gen eingeschlichen. Ich lösche ihn zwar, bekomm ihn aber nicht weg. Zudem taucht er, wenn ich auch "löschen" klicke, später wieder auf. Hier die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 07:37:52, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C14E6230-757D-4246-81CE-B34E2940C722} - C:\WINDOWS\system32\geBqOhFy.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CryptLoad] C:\Dokumente und Einstellungen\Rene\Desktop\CryptLoad_1.0.4\RouterClient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48676DD1-B937-4200-8EAD-7AE7F890E7CE}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBqOhFy - C:\WINDOWS\SYSTEM32\geBqOhFy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe


Danke für eure Hilfe. x)

Ps: Kann aber erst um 14:00 Uhr wieder antworten.

#2 Hallo Cheat2win

>>
wende Cleaner an
http://www.ccleaner.de/?protecus.de

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat:

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {C14E6230-757D-4246-81CE-B34E2940C722} - C:\WINDOWS\system32\geBqOhFy.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O20 - Winlogon Notify: geBqOhFy -
C:\WINDOWS\SYSTEM32\geBqOhFy.dll

und wähle fix checked. + starte den Rechner neu.

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

««
wende rxaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

>>
Wende Combofix an und poste das log
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss

#3 Ist es schlimm, wenn ich einen schnellen Scan mache?

Ich melde mich, wie gesagt, erst um 14:00.

#4

Zitat

Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren". durchfuehren

__________
MfG Argus

#5 So, zurück von der Schule und hab's direkt so gemacht:

~ Punkt 1 ~

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Schnell Scan
Objekte gescannt: 38059
Scan Dauer: 12 minute(s), 41 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\hgGyxVLE.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4b55ed53-38cf-4c18-9e1e-98bef051b5b2} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4b55ed53-38cf-4c18-9e1e-98bef051b5b2} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.Fakealert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggyxvle -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\win32GI (Backdoor.Bifrose) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\hgGyxVLE.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ELVxyGgh.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ELVxyGgh.ini2 (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Sebbe\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.



~ Punkt 2 ~

---RVAXO.exe Updated: 2008-04-16---first run---
Uninstallers:

Files found:
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\npqtsrak.exe

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------




~ Punkt 3 ~

ComboFix 08-04-15.1 - Rene 2008-04-16 14:40:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.873 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Rene\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\geBqOhFy.dll
C:\WINDOWS\system32\iifddaBQ.dll
C:\WINDOWS\system32\QBaddfii.ini
C:\WINDOWS\system32\QBaddfii.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

2008-04-16 14:34 . 2008-04-16 14:35 <DIR> d-------- C:\RVAXO
2008-04-16 14:31 . 2008-04-16 11:11 791,214 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-16 14:31 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Malwarebytes
2008-04-16 07:58 . 2008-04-16 07:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-04-16 07:47 . 2008-04-16 07:47 <DIR> d-------- C:\Programme\CCleaner
2008-04-15 22:08 . 2004-08-04 14:00 452,647 -ra------ C:\txtsetup.sif
2008-04-15 22:08 . 2004-08-04 14:00 262,448 -ra------ C:\$LDR$
2008-04-15 20:24 . 2008-04-15 20:24 <DIR> d-------- C:\VundoFix Backups
2008-04-15 20:09 . 2008-04-16 14:10 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-15 20:09 . 2008-04-16 14:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-04-15 18:26 . 2008-04-15 18:29 2,770 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-15 18:18 . 2008-04-15 18:18 <DIR> d-------- C:\Programme\Windows Defender
2008-04-15 17:41 . 2008-04-15 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\TmpRecentIcons
2008-04-15 16:13 . 1999-10-15 12:50 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2008-04-15 16:13 . 1999-01-28 15:44 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2008-04-15 15:58 . 2008-04-15 15:58 4,808 --a------ C:\WINDOWS\system32\gaeffect.sti
2008-04-15 15:58 . 2008-04-15 16:13 3,176 --a------ C:\WINDOWS\system32\gafilter.sti
2008-04-15 15:58 . 2008-04-15 16:08 579 --ah----- C:\os466477.bin
2008-04-15 15:58 . 2008-04-15 16:08 461 --ah----- C:\WINDOWS\system32\ws344069.ocx
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\WINDOWS\PreviewSoft
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\WINDOWS\Noslip
2008-04-15 15:57 . 2008-04-15 15:57 <DIR> d-------- C:\Programme\Ulead Systems
2008-04-15 15:57 . 2008-04-15 16:27 326 --a------ C:\WINDOWS\ULEAD32.INI
2008-04-13 14:09 . 2008-04-13 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\dvdcss
2008-04-13 14:06 . 2008-04-13 14:06 67 --a------ C:\WINDOWS\#1 DVD Ripper.INI
2008-04-13 14:03 . 2008-04-13 14:03 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\GetRightToGo
2008-04-13 13:50 . 2008-04-13 13:56 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-04-13 13:50 . 2008-04-13 13:50 43,698 --a------ C:\WINDOWS\system32\xvid-uninstall.exe
2008-04-13 13:46 . 2006-12-19 09:53 1,872,821 --a------ C:\WINDOWS\system32\cygwin1.dll
2008-04-13 13:46 . 2006-10-17 22:29 487,479 --a------ C:\WINDOWS\system32\SkinMagic.dll
2008-04-13 13:46 . 2006-10-16 01:10 66,048 --a------ C:\WINDOWS\system32\cygz.dll
2008-04-13 13:30 . 1999-09-10 12:06 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-04-13 13:30 . 1999-09-10 12:06 25,244 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2008-04-13 13:30 . 1999-09-10 12:06 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2008-04-13 13:30 . 1999-09-10 12:06 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2008-04-13 13:25 . 2008-04-13 13:26 <DIR> d-------- C:\Movavi files
2008-04-13 13:23 . 2008-04-13 13:27 42 --a------ C:\WINDOWS\IniFile1.ini
2008-04-13 13:12 . 2008-04-13 13:12 <DIR> d-------- C:\Programme\Apex
2008-04-13 13:12 . 2001-08-23 17:00 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-04-13 13:12 . 2002-01-05 14:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-04-13 13:02 . 2001-11-14 20:59 53,282 --a------ C:\WINDOWS\system32\ATimer.dll
2008-04-13 13:01 . 2008-04-13 13:01 41,476 --a------ C:\WINDOWS\system32\OggDSuninst.exe
2008-04-13 13:01 . 2004-07-30 01:15 28,160 --a------ C:\WINDOWS\system32\tuscaenc.dll
2008-04-11 23:57 . 2008-04-11 23:57 <DIR> d-------- C:\Programme\LitexMedia
2008-04-11 23:57 . 2003-03-19 11:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-10 19:36 . 2008-04-10 19:36 <DIR> d-------- C:\Programme\VB5CCE
2008-04-10 19:36 . 1997-01-14 23:10 2,495 --a------ C:\WINDOWS\system32\ComDlg32.dep
2008-04-10 19:36 . 1997-02-28 15:24 2,495 --a------ C:\WINDOWS\system32\ComCtl32.dep
2008-04-09 20:53 . 2008-04-09 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TVU networks
2008-04-09 20:35 . 2008-04-09 20:35 <DIR> d-------- C:\Programme\TVAnts
2008-04-08 19:44 . 2008-04-08 19:44 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\teamspeak2
2008-04-08 19:43 . 2008-04-08 19:43 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-04-08 19:42 . 2008-04-09 17:38 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-04-08 19:13 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-08 19:13 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-07 22:33 . 2008-04-07 22:33 188 --a------ C:\WINDOWS\usdthank.ini
2008-04-07 22:33 . 2008-04-07 22:33 31 --a------ C:\WINDOWS\idc.ini
2008-04-07 14:27 . 2008-04-07 14:27 <DIR> d-------- C:\WINDOWS\nview
2008-04-07 14:27 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-04-07 14:27 . 2007-12-05 02:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-04-07 14:27 . 2008-04-07 15:13 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-04-07 14:27 . 2007-12-05 02:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-04-07 13:29 . 2008-04-07 13:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-04-07 13:22 . 2008-04-07 13:22 <DIR> d-------- C:\Programme\EA GAMES
2008-04-06 01:03 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-04-06 01:03 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-04-05 23:31 . 2008-04-11 23:58 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-04-05 23:31 . 2008-04-05 23:31 356,352 --a------ C:\WINDOWS\eSellerateEngine.dll
2008-04-05 23:29 . 2008-04-05 23:29 <DIR> d-------- C:\Programme\Deskshare
2008-04-05 21:14 . 2008-04-05 21:20 <DIR> d-------- C:\Programme\uTorrent
2008-04-05 18:43 . 2008-04-05 18:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-05 18:42 . 2008-03-28 01:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-05 18:42 . 2008-03-28 01:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-05 18:42 . 2008-04-05 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-05 17:35 . 2008-03-28 13:19 256 -rahs---- C:\BOOT.BKK
2008-04-05 17:16 . 2008-04-05 17:16 <DIR> d-------- C:\Programme\themexp
2008-04-05 16:45 . 2008-04-05 16:45 <DIR> d-------- C:\Programme\Hamachi
2008-04-05 16:45 . 2008-04-13 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Hamachi
2008-04-05 16:45 . 2008-04-05 16:45 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-05 14:45 . 2008-04-13 22:54 <DIR> d-------- C:\Programme\Valve
2008-04-05 01:41 . 2008-04-05 01:41 <DIR> d-------- C:\Programme\Shutdown4U
2008-04-04 21:53 . 2008-04-04 21:53 158 --a------ C:\WINDOWS\TSDataEx.ini
2008-04-04 20:38 . 2008-04-04 20:38 <DIR> d-------- C:\Programme\Microsoft Games
2008-04-04 14:51 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-04 14:51 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-04-04 14:34 . 2008-04-04 14:34 <DIR> d-------- C:\Train Store
2008-04-03 21:49 . 2008-04-05 21:57 0 --a------ C:\FileOut.Cns
2008-04-03 21:49 . 2008-04-05 21:57 0 --a------ C:\FileIn.Cns
2008-04-03 21:03 . 2008-04-03 21:03 <DIR> d-------- C:\Programme\Nero
2008-04-03 21:03 . 2008-04-03 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nero
2008-04-03 21:03 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2008-04-03 21:03 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2008-04-03 21:03 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 21:14 --------- d-----w C:\Programme\Nvidia
2008-04-15 14:13 --------- d--h--w C:\Programme\InstallShield Installation Information
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Arcor Online"="" []
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-03-21 10:30 486856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"CryptLoad"="C:\Dokumente und Einstellungen\Rene\Desktop\CryptLoad_1.0.4\RouterClient.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Arcor Online"="" []
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 16:28 577536 C:\WINDOWS\soundman.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 07:29 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\Rene\\Desktop\\utorrent.exe"=
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\Valve\\hltv.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\EA GAMES\\Need for Speed Underground 2\\speed2.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\TVAnts\\Tvants.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-05-12 16:01]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
S3 PIBus;PIBus Device;C:\WINDOWS\system32\DRIVERS\PIBus.sys []
S3 PIKbd;PI Virtual Keyboard;C:\WINDOWS\system32\DRIVERS\PIKbd.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-04-16 12:47:41 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 14:44:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 14:48:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-16 12:48:25

18 Verzeichnis(se), 101,296,574,464 Bytes frei
22 Verzeichnis(se), 101,306,540,032 Bytes frei
.
2008-04-15 16:54:41 --- E O F ---

#6 Cheat2Win

Zitat

No action taken.

scanne noch mal mit Malwarebytes, vergiss nicht, nach dem Scan alles gefundene löschen zu lassen.
dann poste den neuen Report.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Per Malwarebytes oder manuell, da die Viren ja gefunden wurden?

Ach, und noch etwas: Soll ich den zweiten und dritten Punkt nochmal wiederholen?

Hm, okay, die Viren wurden noch in der Quarantäne angezeigt, hab sie da gelöscht. In Ordnung?

Danke

#8 per Malwarebytes - du hast gescannt und dann nichts entfernen lassen - No action taken.
dann mache bitte einen Onlinescan mit Bitdefender + poste hier den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 So, hab's nochmal mit Malwarebytes gescannt:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Schnell Scan
Objekte gescannt: 37380
Scan Dauer: 9 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Jetzt mach ich's nochmal mit dem Bitdefender. Dauert zwar ein bisschen, aber egal.

#10 poste dann das log , wenn der scan durch ist
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Eine Frage: Beim Scan, wenn ein Virus auftaucht, wird dieser dann darauf direkt gelöscht?!

Danke


Edit: Bin fertig

-----------------

Detected with: Application.Keygen.Xpstyle.R

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP53\A0018721.exe


Disinfection failed

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP53\A0018721.exe


Deleted

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


Infected with: Packer.PESpin.A

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


Disinfection failed

C:\System Volume Information\_restore{A31E4586-7CFC-4C61-94B9-674978857ABB}\RP9\A0002705.exe


edit (Sabina)

#12 Hallo,

am Ende vom scan, kann man alles gefundene löschen lassen - du hast alles korrekt gemacht ...deleted

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

dann bügel noch mal mit F-secure/Onlinescan drüber, dann sollte wieder alles o.k. sein
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Perfekt. Vielen Dank an dich, Arnold und Tonstudio.

Klasse Arbeit.

#14 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp
Schliesse alle Fenster
Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"
__________
MfG Argus