TR/Vundo.Ger enfernen, aber wie!?

#0
24.04.2008, 17:20
...neu hier

Beiträge: 5
#1 TR/Vundo.Ge enfernen aber wie!?

Hallo zusammen, da ich noch ziemlich neu in der Virenbekämpfung bin und aus den Threads der SuFu nicht schlau wurde wende ich mich nun persönlich an euch und hoffe ihr könnt mir weiterhelfen.
Nun folgen die einzelnen Schritte der anleitung:
Schritt 1: Temporäre Dateien wurden mit CCleaner beseitigt.

Schritt 2:
ComboFix 08-04-22.5 - Domi 2008-04-24 16:54:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.966 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Domi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\cbXQgFxX.dll
C:\WINDOWS\system32\EKSCJRqr.ini
C:\WINDOWS\system32\EKSCJRqr.ini2
C:\WINDOWS\system32\ogdqulwo.ini
C:\WINDOWS\system32\owluqdgo.dll
C:\WINDOWS\system32\rqRJCSKE.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-23 14:46 . 2008-04-23 15:08 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-22 19:42 . 2008-04-22 18:49 212,992 --a------ C:\WINDOWS\wdpoefan.dll
2008-04-22 19:42 . 2008-04-22 18:49 167,936 --a------ C:\WINDOWS\vadokmxt.dll
2008-04-22 19:42 . 2008-04-22 18:49 151,552 --a------ C:\WINDOWS\dpevflbg.dll
2008-04-22 19:42 . 2008-04-22 18:49 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-22 19:42 . 2008-04-22 18:49 81,920 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-16 23:28 . 2008-04-16 23:28 <DIR> d-------- C:\Downloads
2008-04-16 23:18 . 2008-04-16 23:43 206 --a------ C:\WINDOWS\usdthank.ini
2008-04-16 23:18 . 2008-04-16 23:18 31 --a------ C:\WINDOWS\idc.ini
2008-04-16 16:07 . 2008-04-16 16:07 <DIR> d-------- C:\Programme\DNA
2008-04-16 16:07 . 2008-04-24 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\DNA
2008-04-10 19:36 . 2008-04-10 19:36 67 --a------ C:\WINDOWS\My Video Converter.INI
2008-04-10 19:29 . 2008-04-10 19:30 7,252,235 --a------ C:\Temp\FreeVideoToMp3Converter.exe
2008-04-10 18:54 . 2008-04-10 18:55 4,992,082 --a------ C:\Temp\FreeYouTubeDownload.exe
2008-04-08 22:03 . 2008-04-08 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-04-08 21:57 . 2008-04-08 21:57 <DIR> d-------- C:\Programme\Bonjour
2008-04-08 21:47 . 2008-04-08 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-04-01 22:25 . 2008-04-01 22:25 <DIR> d-------- C:\Programme\Java
2008-03-30 00:49 . 2008-03-30 00:49 <DIR> d-------- C:\Logs
5 Datei(en) . 8,527,285 C:\ComboFix\Bytes
4 Datei(en) . 19,455,227 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-10 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-08 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-02 18:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 22:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Skype
2008-03-24 09:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Xfire
2008-03-20 20:03 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Winamp
2008-03-20 15:53 --------- d-----w C:\Programme\Winamp Toolbar
2008-03-20 15:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-03-16 00:21 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Hamachi
2008-03-12 16:47 --------- d-----w C:\Programme\MySQL
2008-03-11 19:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-07 20:16 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\InstallShield
2008-03-02 23:22 --------- d-----w C:\Programme\OpenSource OGG Splitter
2008-03-02 23:22 --------- d-----w C:\Programme\Matroska
2008-03-02 23:21 --------- d-----w C:\Programme\ffdshow
2007-12-10 19:49 22,328 ----a-w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6C54318-5AC7-477D-B0A7-49AF5189300C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-10 14:29 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"Rainlendar2"="G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE" [2007-12-30 12:23 1365504]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-16 16:07 288576]
"VirusIsolator.exe"="C:\Programme\VirusIsolator\VirusIsolator.exe" [ ]
"SpybotSD TeaTimer"="g:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:45 262401]
"VirtualCloneDrive"="G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.exe" [2006-04-29 15:21 94208]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 03:20 398944]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 13:47 7311360]
"nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 13:47 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"QuickTime Task"="G:\PROGRAMME\QUICKTIME\qttask.exe" [2008-01-10 16:27 385024]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"StormCodec_Helper"="g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" [2006-11-26 20:30 97357]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXQgFxX]
cbXQgFxX.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.avis"= ff_acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"G:\\XFIRE\\XFIRE.EXE"=
"G:\\PROGRAMME\\QIP.EXE"=
"G:\\HAMACHI\\HAMACHI.EXE"=
"G:\\VEOH NETWORKS\\VEOH\\VEOHCLIENT.EXE"=
"H:\\EMPIRE EARTH\\EMPIRE EARTH.EXE"=
"H:\\WORLD OF WARCRAFT\\WOW.EXE"=
"H:\\WOLFENSTEIN - ENEMY TERRITORY\\ET.EXE"=
"H:\\COUNTER-STRIKE 1.6\\HL.EXE"=
"H:\\COUNTER-STRIKE SOURCE\\HL2.EXE"=
"H:\\WORLD OF PADMAN\\WOP.EXE"=
"H:\\Dawn of War DK\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"Q:\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\realmd.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\mangosd.exe"=
"H:\\Dawn of War Soul Storm\\Soulstorm.exe"=
"H:\\Warcraft III\\Warcraft III.exe"=
"G:\\Veoh Networks\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"F:\\cryptload\\CryptLoad_1.0.4\\RouterClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:localhost

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 11:22]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R2 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice []
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-10-25 19:02]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-10-25 19:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\0data\cbs.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - O:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9903814-735b-11dc-b2e7-0013d42a4c5c}]
\Shell\AutoRun\command - E:\setupSNK.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 16:58:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 17:01:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 15:01:12

12 Verzeichnis(se), 8,605,483,008 Bytes frei
15 Verzeichnis(se), 8,519,483,392 Bytes frei

194 --- E O F --- 2008-04-11 13:25:50

Schritt 3:
Logfile of HijackThis v1.99.1
Scan saved at 16:18:24, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE
C:\Programme\DNA\btdna.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
G:\Programme\qip.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\cbXQgFxX.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - G:\Veoh Networks\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE" /S
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\PROGRAMME\QUICKTIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Rainlendar2] G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [VirusIsolator.exe] C:\Programme\VirusIsolator\VirusIsolator.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: cbXQgFxX - C:\WINDOWS\SYSTEM32\cbXQgFxX.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Schritt 4:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182

Verzeichnis von C:\WINDOWS\system32

24.04.2008 17:00 2.206 wpa.dbl
24.04.2008 16:59 43.209 nvapps.xml
24.04.2008 16:52 0 clkcnt.txt
17.04.2008 01:18 43.520 CmdLineExt03.dll
11.04.2008 15:22 60.624 perfc009.dat
11.04.2008 15:22 400.464 perfh009.dat
11.04.2008 15:22 414.776 perfh007.dat
11.04.2008 15:22 73.500 perfc007.dat
11.04.2008 15:22 914.880 PerfStringBackup.INI
09.04.2008 16:18 1.581.344 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
01.04.2008 22:25 6.641 jupdate-1.6.0_05-b13.log
20.03.2008 10:03 1.845.376 win32k.sys
03.03.2008 17:19 16.832 amcompat.tlb
03.03.2008 17:19 23.392 nscompat.tlb
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 347.136 dxtmsft.dll
01.03.2008 14:53 124.928 advpack.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
21.02.2008 03:57 54.608 xfcodec.dll
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
20.02.2008 07:33 148.992 dnsapi.dll
15.02.2008 07:44 161.792 ieakui.dll
06.02.2008 22:57 8.272 TVProDrv.sys
06.02.2008 22:57 86.016 Dump.ax
10.01.2008 16:27 90.112 QuickTimeVR.qtx
10.01.2008 16:27 57.344 QuickTime.qts
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182

Verzeichnis von C:\DOKUME~1\Domi\LOKALE~1\Temp

24.04.2008 17:10 107.194 datfind.txt
24.04.2008 17:04 171 jusched.log
2 Datei(en) 107.365 Bytes
0 Verzeichnis(se), 8.530.501.632 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182

Verzeichnis von C:\WINDOWS

24.04.2008 16:58 0 0.log
24.04.2008 16:58 159 wiadebug.log
24.04.2008 16:58 227 system.ini
24.04.2008 16:58 1.644.058 WindowsUpdate.log
24.04.2008 16:58 50 wiaservc.log
24.04.2008 16:57 2.048 bootstat.dat
24.04.2008 16:56 24.194 SchedLgU.Txt
23.04.2008 14:44 7.680 Thumbs.db
22.04.2008 18:49 81.920 wxvgsdbq.exe
22.04.2008 18:49 151.552 dpevflbg.dll
22.04.2008 18:49 94.208 olgdqarf.exe
22.04.2008 18:49 167.936 vadokmxt.dll
22.04.2008 18:49 212.992 wdpoefan.dll
16.04.2008 23:43 206 usdthank.ini
16.04.2008 23:18 31 idc.ini
14.04.2008 21:20 603 win.ini
10.04.2008 19:36 67 My Video Converter.INI
10.04.2008 19:23 69 NeroDigital.ini
06.02.2008 22:44 0 graphedt.INI
06.02.2008 16:42 200 SIERRA.INI
06.02.2008 16:41 264 GAME.INI
19.01.2008 19:22 659 mozver.dat
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182

Verzeichnis von C:\WINDOWS\temp

24.04.2008 16:58 0 ib6.tmp
24.04.2008 16:58 0 ib5.tmp
24.04.2008 16:58 0 ib4.tmp
24.04.2008 16:58 0 ib3.tmp
24.04.2008 16:58 0 ib2.tmp
5 Datei(en) 0 Bytes
0 Verzeichnis(se), 8.530.497.536 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182

Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.10.2007 17:36 65 desktop.ini
23.03.2007 12:17 1.292 erma.inf
09.08.2004 06:02 327.680 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
5 Datei(en) 550.221 Bytes
0 Verzeichnis(se), 8.530.497.536 Bytes frei
.
.

Schritt 5:

Also das Problem ist das ich von meinen Antivirus ungefähr alle 3-4 Stunden eine Meldung von 2 gefundenen Viren bekomme die ich zwar löschen kann aber die dann immer wieder mit anderen Namen auftauchen.

In der Datei 'C:\Dokumente und Einstellungen\Domi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GVR1S0V7\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.

In der Datei 'C:\WINDOWS\system32\yayvSiJY.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Seitenanfang Seitenende
24.04.2008, 18:42
Moderator

Beiträge: 5694
#2 Hallo Doml

>>
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat

O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\cbXQgFxX.dll

O4 - HKCU\..\Run: [VirusIsolator.exe] C:\Programme\VirusIsolator\VirusIsolator.exe

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O20 - Winlogon Notify: cbXQgFxX - C:\WINDOWS\SYSTEM32\cbXQgFxX.dll
und wähle fix checked. + starte den Rechner neu.


http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

C:\WINDOWS\system32\cbXQgFxX.dll
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\dpevflbg.dll
C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\vadokmxt.dll
C:\WINDOWS\wdpoefan.dll
C:\Programme\VirusIsolator
Klicke auf den Roten MoveIt!

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html


Gruss Swiss
Dieser Beitrag wurde am 24.04.2008 um 19:13 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
25.04.2008, 00:29
...neu hier

Themenstarter

Beiträge: 5
#3 Ok danke werd alles soweit schonmal machen ;)
Seitenanfang Seitenende
25.04.2008, 00:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken
Starte dein Recher in abgesicherten Modus

Öffne die Datei RVAXO und doppelklick “RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd
__________
MfG Argus
Seitenanfang Seitenende
26.04.2008, 14:55
...neu hier

Themenstarter

Beiträge: 5
#5 Hi, hat zwar etwas gedauert aber hier kommen nun die Log-Dateien.Bei Malewarebytes waren es zwar zwei und ich wusste nicht wenn ich posten sollte also nehm ich einfach beide:

Malwarebytes(1)=

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 682

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|P:\|Q:\|)
Objekte gescannt: 295169
Scan Dauer: 1 hour(s), 38 minute(s), 45 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\cbXQgFxX.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{37997FA5-612D-4F74-9142-77325AAF6E2D}\RP213\A0066410.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\04252008_183534\WINDOWS\olgdqarf.exe (Trojan.FakeAlert) -> No action taken.

Malwarebytes(2)=

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 682

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|P:\|Q:\|)
Objekte gescannt: 295169
Scan Dauer: 1 hour(s), 38 minute(s), 45 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\cbXQgFxX.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{37997FA5-612D-4F74-9142-77325AAF6E2D}\RP213\A0066410.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\04252008_183534\WINDOWS\olgdqarf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

RVAXO=
---RVAXO.exe Updated: 2008-04-25---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\netlogun.exe

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------
Seitenanfang Seitenende
26.04.2008, 17:27
Moderator

Beiträge: 5694
#6 Hallo DomL

Poste ein neues Log von Combofix.

Gruss Swiss
Seitenanfang Seitenende
26.04.2008, 21:15
...neu hier

Themenstarter

Beiträge: 5
#7 So dann nochmal der Log von Combofix ;)

ComboFix 08-04-24.1 - Domi 2008-04-26 21:09:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1147 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Domi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-26 bis 2008-04-26 ))))))))))))))))))))))))))))))
.

2008-04-26 14:45 . 2008-04-26 14:46 <DIR> d-------- C:\RVAXO
2008-04-26 14:42 . 2008-04-25 13:36 803,317 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-26 14:42 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-25 18:39 . 2008-04-25 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Malwarebytes
2008-04-25 18:38 . 2008-04-25 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-25 18:35 . 2008-04-25 18:35 <DIR> d-------- C:\_OTMoveIt
2008-04-23 14:46 . 2008-04-23 15:08 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-16 23:28 . 2008-04-16 23:28 <DIR> d-------- C:\Downloads
2008-04-16 23:18 . 2008-04-16 23:43 206 --a------ C:\WINDOWS\usdthank.ini
2008-04-16 23:18 . 2008-04-16 23:18 31 --a------ C:\WINDOWS\idc.ini
2008-04-16 16:07 . 2008-04-16 16:07 <DIR> d-------- C:\Programme\DNA
2008-04-16 16:07 . 2008-04-26 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\DNA
2008-04-10 19:36 . 2008-04-10 19:36 67 --a------ C:\WINDOWS\My Video Converter.INI
2008-04-10 19:29 . 2008-04-10 19:30 7,252,235 --a------ C:\Temp\FreeVideoToMp3Converter.exe
2008-04-10 18:54 . 2008-04-10 18:55 4,992,082 --a------ C:\Temp\FreeYouTubeDownload.exe
2008-04-08 22:03 . 2008-04-08 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-04-08 21:57 . 2008-04-08 21:57 <DIR> d-------- C:\Programme\Bonjour
2008-04-08 21:47 . 2008-04-08 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-04-01 22:25 . 2008-04-01 22:25 <DIR> d-------- C:\Programme\Java
2008-03-30 00:49 . 2008-03-30 00:49 <DIR> d-------- C:\Logs
5 Datei(en) . 8,539,573 C:\ComboFix\Bytes
4 Datei(en) . 19,455,227 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-16 23:18 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-04-10 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-08 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-02 18:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 22:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Skype
2008-03-24 09:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Xfire
2008-03-20 20:03 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Winamp
2008-03-20 15:53 --------- d-----w C:\Programme\Winamp Toolbar
2008-03-20 15:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 00:21 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Hamachi
2008-03-12 16:47 --------- d-----w C:\Programme\MySQL
2008-03-11 19:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-07 20:16 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\InstallShield
2008-03-02 23:22 --------- d-----w C:\Programme\OpenSource OGG Splitter
2008-03-02 23:22 --------- d-----w C:\Programme\Matroska
2008-03-02 23:21 --------- d-----w C:\Programme\ffdshow
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-21 01:57 54,608 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-06 20:57 8,272 ----a-w C:\WINDOWS\system32\TVProDrv.sys
2007-12-10 19:49 22,328 ----a-w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\PnkBstrK.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-24_17.01.00.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-24 14:57:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-26 12:45:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-10 14:29 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"Rainlendar2"="G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE" [2007-12-30 12:23 1365504]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-16 16:07 288576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:45 262401]
"VirtualCloneDrive"="G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.exe" [2006-04-29 15:21 94208]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 03:20 398944]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 13:47 7311360]
"nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 13:47 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"QuickTime Task"="G:\PROGRAMME\QUICKTIME\qttask.exe" [2008-01-10 16:27 385024]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"StormCodec_Helper"="g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" [2006-11-26 20:30 97357]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-01-05 01:15:31 1048576]
VIA RAID TOOL.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2007-10-07 03:49:17 565248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.avis"= ff_acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"G:\\XFIRE\\XFIRE.EXE"=
"G:\\PROGRAMME\\QIP.EXE"=
"G:\\HAMACHI\\HAMACHI.EXE"=
"G:\\VEOH NETWORKS\\VEOH\\VEOHCLIENT.EXE"=
"H:\\EMPIRE EARTH\\EMPIRE EARTH.EXE"=
"H:\\WORLD OF WARCRAFT\\WOW.EXE"=
"H:\\WOLFENSTEIN - ENEMY TERRITORY\\ET.EXE"=
"H:\\COUNTER-STRIKE 1.6\\HL.EXE"=
"H:\\COUNTER-STRIKE SOURCE\\HL2.EXE"=
"H:\\WORLD OF PADMAN\\WOP.EXE"=
"H:\\Dawn of War DK\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"Q:\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\realmd.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\mangosd.exe"=
"H:\\Dawn of War Soul Storm\\Soulstorm.exe"=
"H:\\Warcraft III\\Warcraft III.exe"=
"G:\\Veoh Networks\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"F:\\cryptload\\CryptLoad_1.0.4\\RouterClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:localhost

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 11:22]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R2 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice []
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-10-25 19:02]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-10-25 19:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - O:\SETUP.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9903814-735b-11dc-b2e7-0013d42a4c5c}]
\Shell\AutoRun\command - E:\setupSNK.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 21:11:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Zeit der Fertigstellung: 2008-04-26 21:12:13
ComboFix-quarantined-files.txt 2008-04-26 19:11:59
ComboFix2.txt 2008-04-24 15:01:33

14 Verzeichnis(se), 8,469,090,304 Bytes frei
17 Verzeichnis(se), 8,460,759,040 Bytes frei

178 --- E O F --- 2008-04-11 13:25:50
Seitenanfang Seitenende
27.04.2008, 13:42
Moderator

Beiträge: 5694
#8 Hi domL

>>
Mach noch das was Arnold geschrieben hat.



>>
Dann geh unter Start->Ausführen->gib ein: regedit -> Beabeiten -> Suchen-> gib ein: VirusIsolator

Poste das Ergebis.

Gruss Swiss
Seitenanfang Seitenende
27.04.2008, 16:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen
__________
MfG Argus
Seitenanfang Seitenende
27.04.2008, 17:50
...neu hier

Themenstarter

Beiträge: 5
#10 So jetzt kommen einmal die Log Dateien von:

RVAXO.cmd=

---RVAXO.exe Updated: 2008-04-27---first run---
Uninstallers:

Files found:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

Und von Runme.cmd=

---RVAXO.exe Updated: 2008-04-27---first run---
Uninstallers:

Files found:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

Und jetzt noch das aus der Registrierung:

gefunden hat er den unter Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Virusisolator

So ich hoffe ich hab alles richtig gemacht ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: