Trojaner TR/Vundo.Gen geht nicht zu löschen

#1 Guten Tag, mein Anti-Virenscanner hat 2 Trojaner des Typs TR/Vundo.Gen entdeckt, kann diese aber nicht löschen und nun brauche ich professionelle Hilfe, da ich absolut nicht mehr weiter weiß.

Nun folgen die erforderlichen Logs...


ComboFix

ComboFix 08-04-20.2 - Administrator 2008-04-21 13:58:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1606 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vtUnnNFX.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 09:10 . 2008-04-21 09:13 <DIR> d-------- C:\Programme\Trend Micro
2008-04-21 09:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-21 09:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-21 09:06 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-21 09:06 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-21 09:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-21 09:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-21 09:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-21 08:47 . 2008-04-21 08:47 274,368 --a------ C:\WINDOWS\system32\vtUkjIAR.VIR
2008-04-20 19:26 . 2008-04-20 20:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
2008-04-20 18:21 . 2008-04-20 18:21 <DIR> d-------- C:\Programme\Java
2008-04-20 18:21 . 2008-04-20 18:21 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-04-20 18:21 . 2008-04-20 18:21 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-19 20:24 . 2008-04-20 10:53 4,138 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-19 18:55 . 2008-04-19 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TmpRecentIcons
2008-04-19 17:53 . 2008-04-19 17:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-04-19 17:17 . 2008-04-19 12:39 98,304 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-19 17:17 . 2008-04-19 12:39 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-19 15:23 . 2000-12-16 20:44 4,358,144 --------- C:\WINDOWS\csetup.exe
2008-04-19 15:23 . 2008-04-19 15:23 53,248 --a------ C:\WINDOWS\system32\unrar.dll
2008-04-17 21:58 . 2008-04-17 21:59 <DIR> d-------- C:\DVDVideoSoft
2008-04-14 16:28 . 2008-04-14 16:28 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-04-14 15:25 . 2008-04-19 17:53 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-14 15:24 . 2008-04-16 21:10 <DIR> d-------- C:\Programme\ICQ6
2008-04-14 14:56 . 2008-04-14 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-04-12 18:03 . 2008-04-12 18:03 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-04-12 18:03 . 2008-04-12 18:03 <DIR> d-------- C:\Programme\Corel
2008-04-12 10:55 . 2008-04-12 11:24 203 --a------ C:\WINDOWS\cdplayer.ini
2008-04-11 18:47 . 2008-04-11 18:47 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-11 18:47 . 2008-04-11 18:47 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-03-30 20:48 . 2007-06-18 23:22 364,544 --a------ C:\WINDOWS\system32\PropertyGrid.ocx
2008-03-30 20:48 . 2005-10-13 13:42 208,500 --a------ C:\WINDOWS\system32\ReyXpBasics.tlb
2008-03-30 20:48 . 1998-07-12 23:00 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-03-30 20:48 . 2000-10-01 19:00 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2008-03-30 20:48 . 2000-07-15 05:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-03-30 20:48 . 2004-03-09 00:00 84,512 --a------ C:\WINDOWS\system32\PICCLP32.OCX
2008-03-30 20:48 . 1998-07-12 19:00 32,768 --a------ C:\WINDOWS\system32\CMDLGFR.DLL
2008-03-30 20:48 . 2005-09-28 01:31 24,576 --a------ C:\WINDOWS\system32\ControlSubX.ocx
2008-03-30 20:48 . 1998-07-13 00:00 9,728 --a------ C:\WINDOWS\system32\PCCLPFR.DLL
2008-03-27 09:07 . 2008-03-27 09:07 <DIR> d--hs---- C:\found.001
2008-03-21 00:52 . 2004-08-04 01:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-03-21 00:52 . 2001-08-18 05:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-03-21 00:08 . 2008-03-21 00:08 1,159,168 --------- C:\WINDOWS\system32\ieframe.dll.mui
2008-03-21 00:07 . 2008-03-21 00:07 12,800 --------- C:\WINDOWS\system32\advpack.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-20 15:48 --------- d-----w C:\Programme\Steam
2008-04-19 18:18 --------- d-----w C:\Programme\CCleaner
2008-04-17 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-17 19:57 --------- d-----w C:\Programme\DVDVideoSoft
2008-04-14 13:26 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-04-09 20:15 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2008-04-06 09:58 --------- d-----w C:\Programme\JetAudio
2008-03-31 11:12 --------- d-----w C:\Programme\Free FLV Converter
2008-03-18 09:36 --------- d-----w C:\Programme\crazy SUDOKU DEMO
2008-03-17 20:17 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-03-17 08:25 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft
2008-03-17 08:25 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ScanSoft
2008-03-17 08:23 --------- d-----w C:\Programme\Gemeinsame Dateien\CANON
2008-03-17 08:05 --------- d--h--w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CanonBJ
2008-03-17 08:05 --------- d-----w C:\Programme\Canon
2008-03-12 18:40 --------- d-----w C:\Programme\TechSmith
2008-03-12 18:40 --------- d-----w C:\Programme\Gemeinsame Dateien\TechSmith Shared
2008-03-12 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TechSmith
2008-03-10 17:21 --------- d-----w C:\Programme\MSBuild
2008-03-10 17:21 --------- d-----w C:\Programme\Microsoft Works
2008-03-05 20:23 --------- d-----w C:\Programme\Gemeinsame Dateien\COWON
2008-03-04 10:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ulead Systems
2008-03-04 10:35 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Ulead Systems
2008-03-04 10:35 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\InstallShield
2008-03-04 10:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-04 10:34 --------- d-----w C:\Programme\Ulead Systems
2008-03-04 10:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-12-11 18:17 498 ----a-w C:\Programme\README.txt
2004-10-01 14:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
2008-04-20 18:21 34816 --a------ C:\Programme\Java\jre6\bin\jp2ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
2008-04-20 18:21 73728 --a------ C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:50 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\VDOTool\TBPanel.exe" [2006-08-30 18:13 2154496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 04:07 843776]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 10:19 729088]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-04-20 10:07 385024]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 15:32 278528]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 11:32 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-30 21:21 185896]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 21:08 95504]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 14:16 185896]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 13:45 75304]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-04-20 18:21 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 JavaQuickStarterService;Java Quick Starter;"C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" []
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys [2001-02-12 22:02]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 07:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLProt.sys [2001-02-12 22:02]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 14:01:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft ActiveSync\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 14:04:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-21 12:04:11

9 Verzeichnis(se), 108,053,389,312 Bytes frei
14 Verzeichnis(se), 108,043,288,576 Bytes frei

179 --- E O F --- 2008-04-09 20:15:29



HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:31, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VDOTool\TBPanel.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\xhxjxtx\xhxjxtx.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://adserver.71i.de/event.ng/Type=click&FlightID=36534&AdID=61111&TargetID=9148&Segments=10,15,20,132,134,146,154,160,1
61,198,216,228,370,414,1010,1017,1365,1414,1681,2035,2316,2561,2594,2602,2675,2723,2785,2878,3079,3083,3084,
3154,3210,3252,3272,350
2,3540,3633,3665,3720,3741,3742,3782,3830,3884,4120,4121,4127,4133,4150,4214,4227,4319,4327,4328,4340,4521,4526,4567,4587
,4625,4726,4816,5249,53
31,5426,5428,5550,5571,5596&Tar
gets=9,5939,13383,9148&Values=31,43,51,60,86,92,101,110,150,225,464,475,494,506,517,533,534,537,538,564,593,621,688,936,113
8,1141,1261,1445,1484,1514,1608,18
49,2207,2351,2473,2493,2514,2655,2691,2699,2758,2761,2810,2873,2874,3794,4797,4823,4851,4852,4860,4892,5071,5145,5361
,5365,5369,5380,9184,9420,
9903,10465,10949,11007&RawValues=&Redirect=http://chat.icq.com/icqchat/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9917 bytes



datfind.bat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02A-ED16

Verzeichnis von c:\

21.04.2008 14:17 0 dirdat.txt
21.04.2008 14:04 13.373 ComboFix.txt
21.04.2008 14:01 2.145.386.496 pagefile.sys
02.01.2008 12:39 316 boot.ini
02.01.2008 12:37 47.564 NTDETECT.COM
02.01.2008 12:37 251.184 ntldr
02.01.2008 12:18 1.950 TDSLCheck.txt
26.12.2007 12:26 192 BcBtRmv.log
02.12.2007 15:47 1.024 .rnd
02.12.2007 15:08 0 MSDOS.SYS
02.12.2007 15:08 0 IO.SYS
02.12.2007 15:08 0 AUTOEXEC.BAT
02.12.2007 15:08 0 CONFIG.SYS
18.08.2001 14:00 4.952 bootfont.bin
14 Datei(en) 2.145.707.051 Bytes
0 Verzeichnis(se), 108.055.441.408 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02A-ED16

Verzeichnis von C:\WINDOWS\system32

21.04.2008 08:47 274.368 vtUkjIAR.VIR
20.04.2008 18:21 143.360 javaws.exe
20.04.2008 18:21 139.264 javaw.exe
20.04.2008 18:21 73.728 javacpl.cpl
20.04.2008 18:21 135.168 java.exe
20.04.2008 18:21 410.976 deploytk.dll
20.04.2008 17:53 6.690 jupdate-1.6.0_06-b02.log
20.04.2008 10:53 4.138 tmp.reg
20.04.2008 10:53 0 tmp.txt
19.04.2008 15:23 53.248 unrar.dll
18.04.2008 09:00 2.206 wpa.dbl
14.04.2008 19:28 86.528 VACFix.exe
14.04.2008 16:28 124.688 MSWINSCK.OCX
13.04.2008 09:42 360.136 FNTCACHE.DAT
12.04.2008 13:49 82.432 IEDFix.exe
06.04.2008 07:56 19.836.024 MRT.exe
30.03.2008 10:01 40.836 perfc009.dat
30.03.2008 10:01 320.104 perfh007.dat
30.03.2008 10:01 314.508 perfh009.dat
30.03.2008 10:01 49.166 perfc007.dat
30.03.2008 10:01 732.344 PerfStringBackup.INI
21.03.2008 00:08 1.159.168 ieframe.dll.mui
21.03.2008 00:07 12.800 advpack.dll.mui
20.03.2008 10:03 1.845.376 win32k.sys
05.03.2008 16:16 6.641 jupdate-1.6.0_05-b13.log
03.03.2008 20:55 8.016.384 ieframe.dll
03.03.2008 20:53 5.120.000 mshtml.dll
03.03.2008 20:53 385.024 html.iec
03.03.2008 20:53 1.547.264 inetcpl.cpl
03.03.2008 20:53 78.336 ieencode.dll
03.03.2008 20:53 208.384 WinFXDocObj.exe
03.03.2008 20:53 233.984 webcheck.dll
03.03.2008 20:53 1.188.352 urlmon.dll
03.03.2008 20:52 193.024 msrating.dll
03.03.2008 20:52 41.984 licmgr10.dll
03.03.2008 20:52 105.984 url.dll
03.03.2008 20:52 116.224 occache.dll
03.03.2008 20:52 142.848 IESetting.dll
03.03.2008 20:52 830.464 wininet.dll
03.03.2008 20:52 17.920 corpol.dll
03.03.2008 20:52 28.672 jsproxy.dll
03.03.2008 20:52 224.768 ieaksie.dll
03.03.2008 20:52 349.184 iedkcs32.dll
03.03.2008 20:51 119.808 ieakeng.dll
03.03.2008 20:51 70.656 ie4uinit.exe
03.03.2008 20:51 434.176 vbscript.dll
03.03.2008 20:51 69.120 admparse.dll
03.03.2008 20:51 149.504 ieakui.dll
03.03.2008 20:51 69.120 iesetup.dll
03.03.2008 20:51 36.864 ieudinit.exe
03.03.2008 20:51 44.032 iernonce.dll
03.03.2008 20:51 94.208 inseng.dll
03.03.2008 20:51 126.464 advpack.dll
03.03.2008 20:51 557.056 jscript.dll
03.03.2008 20:51 585.728 msfeeds.dll
03.03.2008 20:50 629.248 mstime.dll
03.03.2008 20:50 52.736 msfeedssync.exe
03.03.2008 20:50 184.320 iepeers.dll
03.03.2008 20:50 52.224 msfeedsbs.dll
03.03.2008 20:50 60.928 icardie.dll
03.03.2008 20:50 268.800 iertutil.dll
03.03.2008 20:50 345.600 dxtmsft.dll
03.03.2008 20:50 44.544 pngfilt.dll
03.03.2008 20:50 36.352 imgutil.dll
03.03.2008 20:50 212.992 dxtrans.dll
03.03.2008 20:50 68.608 mshtmled.dll
03.03.2008 20:50 48.128 mshtmler.dll
03.03.2008 20:50 1.555.456 mshtml.tlb
03.03.2008 20:50 45.568 mshta.exe
03.03.2008 20:50 66.560 tdc.ocx
03.03.2008 20:44 181.248 ieui.dll
03.03.2008 20:43 156.160 msls31.dll
03.03.2008 20:37 56.413 ieuinit.inf
03.03.2008 20:34 440.832 ieapfltr.dll
23.02.2008 22:20 16.180 IE8Eula.rtf
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
16.02.2008 10:59 1.494.528 shdocvw.dll
16.02.2008 10:59 474.624 shlwapi.dll
16.02.2008 10:59 55.808 extmgr.dll
16.02.2008 10:59 1.056.256 danim.dll
16.02.2008 10:59 152.064 cdfview.dll
16.02.2008 10:59 1.023.488 browseui.dll
16.02.2008 01:03 374.272 xpsp3res.dll
07.02.2008 18:48 3.670.112 ieapfltr.dat
31.01.2008 15:45 50.520 csvidcap.dll
31.01.2008 13:57 107.864 tsccvid.dll
30.01.2008 21:21 185.944 rmoc3260.dll
30.01.2008 21:21 5.632 pndx5032.dll
30.01.2008 21:21 6.656 pndx5016.dll
30.01.2008 21:21 348.160 msvcr71.dll
30.01.2008 21:21 499.712 msvcp71.dll
30.01.2008 21:21 278.528 pncrt.dll
20.01.2008 19:33 5.686 jupdate-1.6.0_03-b05.log
19.01.2008 23:54 160.532 nvapps.xml
....
........... die 1. drei Monate reichen euch, wie ich gelesen habe.


2179 Datei(en) 487.989.005 Bytes
0 Verzeichnis(se), 108.055.314.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A02A-ED16

Verzeichnis von C:\WINDOWS

21.04.2008 14:16 558 DFC.INI
21.04.2008 14:01 227 system.ini
21.04.2008 14:01 0 0.log
21.04.2008 14:01 159 wiadebug.log
21.04.2008 14:01 1.459.596 WindowsUpdate.log
21.04.2008 14:01 50 wiaservc.log
21.04.2008 14:01 2.048 bootstat.dat
21.04.2008 14:00 32.544 SchedLgU.Txt
21.04.2008 10:25 800 win.ini
19.04.2008 15:33 116 NeroDigital.ini
19.04.2008 12:39 98.304 wxvgsdbq.exe
19.04.2008 12:39 94.208 olgdqarf.exe
12.04.2008 11:24 203 cdplayer.ini
17.03.2008 10:25 408 MAXLINK.INI
17.03.2008 10:06 0 Sti_Trace.log
12.03.2008 20:40 316.640 WMSysPr9.prx
12.01.2008 01:51 219 uno.ini
....
...... hier auch nur ein 3 Monatsauszug


So, das waren jetzt eigentlich alle Log-Dateien.


Mein Anti-Virensystem hatte am Wochenende 2 dieser besagten Trojaner entdeckt, zuvor habe ich schon diese hartnäckige Spyware? mit den "Windows System Alert" entfernen können, scheint wohl ein ganzes Packet gewesen zu sein.

Hier ein Auszug von antiVir, die den besagten Aufenthaltsort der beiden Trojaner angibt:
In der Datei 'C:\WINDOWS\system32\urqQjgfe.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VLLZNIWV\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Bericht von 13:09 Uhr

Scheinen sich stündlich, sobald antiVir sie wieder entdeckt, umzubennen, aber die Dateiendung und Fundort bleiben identisch.

Nun meine Frage: "könnt' ihr mir helfen"?

#2 Hallo,

««
wende Cleaner an (noch mal, denn geladen hast du ihn ja schon)
http://www.ccleaner.de/?protecus.de

««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\vtUkjIAR.VIR
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\system32\urqQjgfe.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VLLZNIWV

Klicke auf den Roten MoveIt!

+
poste, was links im Fenster erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Habe jetzt alles so befolgt wie Sie es beschrieben haben, allerdings tauchte in den linken Fenster, wo ich auch den Text reinkopieren sollte, nichts auf und blieb weiss. Lediglich ein kleines Fenster öffnete sich mir, wo nachgefragt wurde ob ich neustarten möchte, worauf ich eingewilligt habe.

War das falsch?

Nach dem Neustart erschien dann aber der Editor mit folgenden text...


File move failed. C:\WINDOWS\system32\vtUkjIAR.VIR scheduled to be moved on reboot.
C:\WINDOWS\wxvgsdbq.exe moved successfully.
C:\WINDOWS\olgdqarf.exe moved successfully.
File/Folder C:\WINDOWS\system32\urqQjgfe.dll not found.
Folder move failed. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VLLZNIWV scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04212008_151648

Files moved on Reboot...
File C:\WINDOWS\system32\vtUkjIAR.VIR not found!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VLLZNIWV moved successfully.


?:-(

#4 nun sollte wieder alles sauber sein...

PC neustarten

für die Registry:
scanne mit malwarebytes, lasse entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 AntiVir hat bisher nicht noch ein Mal angeschlagen, scheint wirklich alles 'clean' zu sein.

Ach ja, das Log-file...

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 665

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 99107
Scan Dauer: 45 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUnnNFX.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0D353F9D-BE38-414E-A0AE-64B87223C0B0}\RP116\A0036220.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\04212008_151648\WINDOWS\olgdqarf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Sieht doch gut aus, oder nicht?

Ich danke Ihnen jedenfalls für Ihre Hilfe und die rasche Antwort. Werde jeden, der dringend Hilfe benötigt, auf diese Seite den Weg weisen, bin vollkommen zufrieden, mit dem was mir hier geboten wurde.