TR\Vundo.Gen Trojaner entfernen

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.04.2008, 13:46
...neu hier

Beiträge: 4
#1 Hallo,

Diesen Thread gibt es bestimmt schon mindestens 10 mal in diesem Forum und ich habe die anderen Threads mir auch durchgelesen, die anleitung wie man den Virus entfernt auch, aber ich hab das Problem das ich mein Hijack This Log leider nicht auswerten kann, weil ich mich kaum damit auskenne ;)

Ich wäre sehr dankbar wenn mir dabei jemand helfen könnte

mfg PkPaule

Hier ist der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:35, on 20.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Razer\Krait\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Krait\razerofa.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} - C:\WINDOWS\system32\urqRIAPH.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Coel139fliu - Unknown owner - (no file)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6524 bytes


Hoffe auf Hilfe[/u]

P.S: Habe den Virus in anti vir unter Quarantäne, auch wenn das nichts hilft, wenn ich ihn daraus lösche bzw versuche zu löschen kommt zwar keine Fehlermeldung aber der Virus ist dennoch weiterhin da. Mit VunoFix Vers. 6.5.10 hat er die Datei gefunden ( C:\Windows\system32\urqRIAPH.dll ) konnte sie allerdings nicht löschen.


EDIT: Hier ist der nachgereichte Combo Fix report....


ComboFix 08-04-18.3 - Besitzer 2008-04-20 14:25:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1635 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\urqRIAPH.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-20 bis 2008-04-20 ))))))))))))))))))))))))))))))
.

2008-04-20 13:38 . 2008-04-20 13:38 <DIR> d-------- C:\Programme\Trend Micro
2008-04-20 13:33 . 2007-01-05 18:02 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-20 13:33 . 2007-01-05 17:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-20 13:33 . 2007-01-05 17:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-20 13:33 . 2008-04-20 14:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-20 13:33 . 2007-01-05 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-20 13:33 . 2007-01-05 17:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-20 13:33 . 2007-01-05 17:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-20 13:33 . 2008-04-20 13:33 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-20 13:33 . 2008-04-20 14:25 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NtUser.dat.LOG
2008-04-20 12:34 . 2008-04-20 12:43 <DIR> d-------- C:\VundoFix Backups
2008-04-19 18:49 . 2008-04-19 18:49 <DIR> d-------- C:\Programme\Panda Security
2008-04-19 18:25 . 2008-04-19 18:25 2,610 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-19 18:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-19 18:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-19 18:23 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-19 18:23 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-19 18:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-19 18:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-19 18:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-19 17:32 . 2008-04-19 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TmpRecentIcons
2008-04-19 16:30 . 2008-04-19 12:39 98,304 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-19 16:30 . 2008-04-19 12:39 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-18 21:23 . 2008-04-18 21:23 19,751,424 --a------ C:\DJ Coone - The Return (Long Version).mp3
2008-04-17 19:27 . 2008-04-17 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2008-04-17 19:26 . 2008-04-17 19:26 <DIR> d-------- C:\Programme\VideoLAN
2008-04-16 22:32 . 2008-04-16 22:32 7,428,864 --a------ C:\PORZ Most Wanted - Deutschland geht den Bach runter....mp3
2008-04-11 23:21 . 2008-04-11 23:21 7,764,480 --a------ C:\Skanker - Wieder Da ( feat. K.A ).mp3
2008-04-10 22:37 . 2008-04-20 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-08 14:19 . 2008-04-08 14:19 7,427,328 --a------ C:\Dontlikemondays.mp3
2008-04-05 21:18 . 2008-04-15 23:26 <DIR> d-------- C:\Programme\UltraStar Deluxe
2008-04-05 19:30 . 2008-04-05 19:30 <DIR> d-------- C:\Programme\Nvu
2008-04-05 19:30 . 2008-04-05 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Nvu
2008-04-02 18:30 . 2008-04-02 19:23 <DIR> d-------- C:\Programme\DAEMON Tools
2008-04-02 18:29 . 2008-04-02 18:29 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-02 18:16 . 2008-04-02 18:16 <DIR> d-------- C:\WINDOWS\system32\xlive
2008-03-30 02:23 . 2008-03-30 02:23 <DIR> d-------- C:\Programme\Smart Projects
2008-03-29 18:33 . 2008-03-29 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\assspd.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aaspyd.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aaspla.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aasmaa.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aaslia.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aaselc.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aascyd.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aascyc.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aascud.dkt
2008-03-28 19:36 . 2008-03-28 19:36 355 ---h----- C:\WINDOWS\system32\aasboc.dkt
2008-03-28 16:51 . 2008-03-28 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-28 16:45 . 2008-03-28 16:45 <DIR> d-------- C:\Programme\Bonjour
2008-03-28 16:40 . 2008-03-28 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-03-27 23:17 . 2008-03-27 23:51 <DIR> d-------- C:\Programme\3D Canvas 7
2008-03-25 01:53 . 2008-03-25 01:53 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-24 16:50 . 2008-03-24 16:50 <DIR> d-------- C:\Programme\Outerspace Software
2008-03-23 21:16 . 2008-03-23 21:16 5,494,272 --a------ C:\Jünge.mp3
2008-03-23 00:56 . 2008-03-23 00:56 213,904 --a------ C:\piano.mp3.sfk
2008-03-23 00:55 . 2008-03-23 00:55 4,561,920 --a------ C:\piano.mp3
2008-03-22 23:35 . 2008-03-22 23:39 292,240 --a------ C:\The Sweet_Blockbuster.mp3.sfk
2008-03-22 23:11 . 2008-03-22 23:12 358,768 --a------ C:\In the Army now.mp3.sfk
2008-03-22 22:44 . 2008-03-22 22:44 224,312 --a------ C:\Fortunate Son.mp3.sfk
2008-03-22 22:32 . 2008-03-22 22:32 6,233,088 --a------ C:\The Sweet_Blockbuster.mp3
2008-03-22 22:29 . 2008-03-22 22:29 4,783,872 --a------ C:\Fortunate Son.mp3
2008-03-22 21:25 . 2008-04-20 13:31 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FRITZ!
2008-03-22 21:18 . 2008-03-22 21:18 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2008-03-22 21:18 . 2008-03-25 01:53 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-03-22 21:18 . 2005-11-21 11:41 367,104 --a------ C:\WINDOWS\system32\drivers\Netfwdsl.sys
2008-03-22 21:18 . 1998-11-17 14:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-22 21:18 . 2003-07-11 17:51 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll
2008-03-22 21:18 . 2005-11-21 11:34 28,160 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2008-03-22 21:18 . 2005-11-21 11:41 11,264 --a------ C:\WINDOWS\system32\drivers\NETDSL.SYS
2008-03-22 21:18 . 2005-11-21 12:40 3,069 --a------ C:\WINDOWS\system32\NETDSL.INF
2008-03-22 21:18 . 2005-11-21 12:40 1,783 --a------ C:\WINDOWS\system32\Netfwdsl.inf
8 Datei(en) . 112,188 C:\ComboFix\Bytes
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 16:39 18,944 --sha-w C:\Programme\Thumbs.db
2008-04-19 14:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-17 17:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-10 20:38 --------- d-----w C:\Programme\Google
2008-04-07 12:08 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Audacity
2008-04-05 17:27 --------- d-----w C:\Programme\BuddyW
2008-04-02 16:15 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-04-02 16:15 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-28 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-26 18:05 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Hamachi
2008-03-24 23:53 --------- d-----w C:\Programme\Lights go down
2008-03-14 17:17 --------- d-----w C:\Programme\Steam
2008-03-14 16:14 --------- d-----w C:\Programme\No23 Recorder
2008-03-11 19:52 --------- d-----w C:\Programme\Microsoft Reader
2008-03-11 19:48 --------- d-----w C:\Programme\ScanSoft
2008-03-08 23:40 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-03-08 10:53 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ubisoft
2008-03-08 10:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-03-07 15:23 69,611 ----a-w C:\Programme\Song Selection.jpg
2008-03-05 20:50 8,583 ----a-w C:\Programme\1891.jpg
2008-03-05 20:47 9,928 ----a-w C:\Programme\russldw1.gif
2008-03-05 20:40 885 ----a-w C:\Programme\70px-Flag_of_the_Workers'_Party_of_Korea.svg.png
2008-03-05 20:37 --------- d-----w C:\Programme\UltraStar
2008-03-05 20:35 786 ----a-w C:\Programme\50px-HammerSichelStern.gif
2008-03-05 20:30 1,793 ----a-w C:\Programme\50px-Hammer_and_sickle.svg.png
2008-03-05 20:24 1,658 ----a-w C:\Programme\stern.gif
2008-03-04 13:15 --------- d-----w C:\Programme\SystemRequirementsLab
2008-02-22 16:48 --------- d-----w C:\Programme\runasdate
2008-02-22 16:44 --------- d-----w C:\Programme\After Effects
2008-02-22 07:17 --------- d-----w C:\Programme\MSXML 6.0
2008-02-20 18:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sony
2008-02-20 17:41 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Publish Providers
2008-02-20 17:36 --------- d-----w C:\Programme\Sony
2008-02-20 17:34 --------- d-----w C:\Programme\VstPlugins
2008-02-20 17:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-02-20 17:28 --------- d-----w C:\Programme\MSBuild
2008-02-20 17:26 --------- d-----w C:\Programme\Reference Assemblies
2008-02-20 17:23 --------- d-----w C:\Programme\Sony Setup
2008-02-20 17:23 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sony Setup
2008-02-20 16:17 --------- d-----w C:\Programme\Temp
2007-09-10 20:11 22,328 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2007-06-30 20:50 284 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ViewerApp.dat
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 12:07 843776]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 09:19 729088]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 17:26 406016]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 21:05 311296]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"Krait"="C:\Programme\Razer\Krait\razerhid.exe" [2006-01-24 11:38 147456]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-14 22:53 262401]
"nwiz"="nwiz.exe" [2007-10-28 17:52 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-28 17:52 8531968]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-28 17:52 81920]
"XboxStat"="C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-26 19:05 734264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2008-03-22 21:18:13 917504]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-10 22:37:10 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Privoxy.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Privoxy.lnk
backup=C:\WINDOWS\pss\Privoxy.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-27 20:12 3142236 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-26 14:42 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-08-31 17:40 22879528 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-01-15 18:23 1266936 c:\programme\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2006-08-31 02:01 8915456 C:\Programme\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\counter-strike\\hl.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\day of defeat\\hl.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\condition zero\\hl.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\condition zero deleted scenes\\hl.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\dark messiah might and magic dedicated server\\srcds.exe"=
"C:\\Programme\\Steam\\SteamApps\\flaschor@web.de\\counter-strike source\\hl2.exe"=
"C:\\Programme\\css\\hl2.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\counter-strike source\\hl2.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\source dedicated server\\srcds.exe"=
"C:\\Programme\\Steam\\SteamApps\\ekuew\\ricochet\\hl.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Spiele\\Midway Games\\Stranglehold\\Binaries\\Retail-Stranglehold.exe"=
"D:\\Unreal Tournament 3 Demo\\Binaries\\UT3Demo.exe"=
"C:\\Programme\\Reallusion\\CrazyTalk for Skype\\CT4Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"D:\\Eigene Dateien\\ICQ Lite\\436993448\\The_Henker_355119928\\qip.exe"=
"C:\\Programme\\Remote Control Pro\\RCPServer.exe"=
"C:\\Spiele\\Speedball2 Demo\\Speedball2.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Spiele\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\Spiele\\Sega\\The Club\\Launcher.exe"=
"C:\\Spiele\\Sega\\The Club\\TheClub.exe"=
"C:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Spiele\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Spiele\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Spiele\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=

R2 SFC4;SFC4;C:\WINDOWS\system32\drivers\SFC4.sys [1998-09-16 10:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 03:04]
R3 Rcphook;Rcphook;C:\WINDOWS\system32\DRIVERS\rcpmini.sys [2007-04-23 11:31]
S3 asbp2poa;asbp2poa;C:\DOKUME~1\Besitzer\LOKALE~1\Temp\asbp2poa.sys []
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-07-28 06:28]
S3 AVCSTRM;AVC Streaming Filter Driver;C:\WINDOWS\system32\DRIVERS\avcstrm.sys [2004-08-03 23:10]
S3 CoachUsb;Coach Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys []
S3 MSTAPE;Microsoft AV/C Tape Subunit Device;C:\WINDOWS\system32\DRIVERS\mstape.sys [2004-08-03 23:10]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys []
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]
S3 zlportio;zlportio;C:\Programme\UltraStar Deluxe\zlportio.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 16:15:57 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-03-26 10:26:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 14:27:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-20 14:28:13
ComboFix-quarantined-files.txt 2008-04-20 12:28:10

16 Verzeichnis(se), 9,156,435,968 Bytes frei
18 Verzeichnis(se), 9,168,134,144 Bytes frei

261 --- E O F --- 2008-03-22 19:12:00
Dieser Beitrag wurde am 20.04.2008 um 14:31 Uhr von PkPaule editiert.
Seitenanfang Seitenende
20.04.2008, 14:22
Moderator

Beiträge: 7805
#2 Reiche bitte ein Combofix Report nach. Bitte vorher den Antivirguard deaktivieren...
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2008, 15:31
...neu hier

Themenstarter

Beiträge: 4
#3 anscheinend ist der Virus jetzt weg ??!! ComboFix hat ihn anscheinend gelöscht, habe nochmal sämtliche Viren Programme drüber laufen lassen, aber eer scheint nicht mehr dazu sein...... cool.^^

thx
Seitenanfang Seitenende
20.04.2008, 15:41
Moderator

Beiträge: 7805
#4 Also 2 Dateien sind noch verdaechtig.

Koenntest du folgende Dateien, Packen mit Passwort infected versehen und an virus@protecus.de schicken?

C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\olgdqarf.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2008, 17:16
...neu hier

Themenstarter

Beiträge: 4
#5 ich kanns probieren, wozu braucht ihr die denn?

EDIT: Ich schicke euch die Dateien, allerdings bin ich mir nicht sicher ob sie nun ein passwort haben, ich kenn mich mit WinRar nicht so gut aus^^ aber ich hab probiert ihnen das pw zu geben :p ... Ich habe auch auf Google mal die namen der .exe dateien eingegeben, das hier kommt raus:

http://www.google.de/search?client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&channel=s&hl=de&q=olgdqarf&meta=&btnG=Google-Suche

und das beim andren:

http://www.google.de/search?hl=de&safe=off&client=firefox-a&channel=s&rls=org.mozilla%3Ade%3Aofficial&hs=vSb&q=wxvgsdbq.exe&btnG=Suche&meta=

Ich bin dadurch zum schluss gekommen sie besser zu löschen da sie auf keinen Fall system Dateien sind die wichtig wären Oo
Dieser Beitrag wurde am 20.04.2008 um 17:26 Uhr von PkPaule editiert.
Seitenanfang Seitenende
20.04.2008, 17:19
Moderator

Beiträge: 7805
#6 Ich moechte gerne wissen, was die machen, wofuer diese Dateien verantwortlich sind.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2008, 18:05
Moderator

Beiträge: 7805
#7 Die beiden Dateien sind ein Teil einer Zlob infektion. Antivir haette diese Dateien mit Spywareerkennung gemeldet. Du solltest sie loeschen...

Siehe hier

http://www.threatexpert.com/report.aspx?md5=2ca0389185ba9dc0f2146bd8d2f86430
http://www.threatexpert.com/report.aspx?md5=e204a43e5e94d7419e423ea08681e86b
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2008, 18:41
...neu hier

Themenstarter

Beiträge: 4
#8 jo genau das hat mich gestern genervt, das hab ich aber wegbekommen, ok dann vernichte ich jetzt auch noch den letzten teil davon ^^ thx
Seitenanfang Seitenende
21.04.2008, 12:25
...neu hier

Beiträge: 1
#9 Hallo,

ich bin hier ganz neu und bräuchte Hilfe. Habe seit heute morgen folgenden Virus auf dem Rechner:

Trojan-Downloader.Win32.Small.upk

Kann ihn über Antivir nicht löschen lassen und weiß leider auch nicht weiter.

Über Tipps wäre ich sehr dankbar.

LG Tiffi25 ;)
Seitenanfang Seitenende
21.04.2008, 12:30
Moderator

Beiträge: 7805
#10 Arbeite bitte das ab http://board.protecus.de/t23188.htm und eroeffne hier http://board.protecus.de/newtopic.php?boardid=3 ein neues Thema
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: