TR/Vundo.Ger enfernen, aber wie!? |
||
---|---|---|
#0
| ||
24.04.2008, 17:20
...neu hier
Beiträge: 5 |
||
|
||
24.04.2008, 18:42
Moderator
Beiträge: 5694 |
#2
Hallo Doml
>> Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei Zitat O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\cbXQgFxX.dllund wähle fix checked. + starte den Rechner neu. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Zitat C:\WINDOWS\system32\cbXQgFxX.dllKlicke auf den Roten MoveIt! >> scanne mit Malwarebytes- lasse alles entfernen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html Gruss Swiss Dieser Beitrag wurde am 24.04.2008 um 19:13 Uhr von Tonstudio editiert.
|
|
|
||
25.04.2008, 00:29
...neu hier
Themenstarter Beiträge: 5 |
#3
Ok danke werd alles soweit schonmal machen
|
|
|
||
25.04.2008, 00:38
Ehrenmitglied
Beiträge: 6028 |
#4
RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken Starte dein Recher in abgesicherten Modus Öffne die Datei RVAXO und doppelklick “RunMe.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log Poste dessen inhalt hier ins Forum Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd __________ MfG Argus |
|
|
||
26.04.2008, 14:55
...neu hier
Themenstarter Beiträge: 5 |
#5
Hi, hat zwar etwas gedauert aber hier kommen nun die Log-Dateien.Bei Malewarebytes waren es zwar zwei und ich wusste nicht wenn ich posten sollte also nehm ich einfach beide:
Malwarebytes(1)= Malwarebytes' Anti-Malware 1.11 Datenbank Version: 682 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|P:\|Q:\|) Objekte gescannt: 295169 Scan Dauer: 1 hour(s), 38 minute(s), 45 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\cbXQgFxX.dll.vir (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{37997FA5-612D-4F74-9142-77325AAF6E2D}\RP213\A0066410.dll (Trojan.Vundo) -> No action taken. C:\_OTMoveIt\MovedFiles\04252008_183534\WINDOWS\olgdqarf.exe (Trojan.FakeAlert) -> No action taken. Malwarebytes(2)= Malwarebytes' Anti-Malware 1.11 Datenbank Version: 682 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|P:\|Q:\|) Objekte gescannt: 295169 Scan Dauer: 1 hour(s), 38 minute(s), 45 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\QooBox\Quarantine\C\WINDOWS\system32\cbXQgFxX.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{37997FA5-612D-4F74-9142-77325AAF6E2D}\RP213\A0066410.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\_OTMoveIt\MovedFiles\04252008_183534\WINDOWS\olgdqarf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. RVAXO= ---RVAXO.exe Updated: 2008-04-25---first run--- Uninstallers: Files found: C:\WINDOWS\system32\clkcnt.txt C:\WINDOWS\system32\netlogun.exe Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- |
|
|
||
26.04.2008, 17:27
Moderator
Beiträge: 5694 |
||
|
||
26.04.2008, 21:15
...neu hier
Themenstarter Beiträge: 5 |
#7
So dann nochmal der Log von Combofix
ComboFix 08-04-24.1 - Domi 2008-04-26 21:09:21.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1147 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Domi\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-03-26 bis 2008-04-26 )))))))))))))))))))))))))))))) . 2008-04-26 14:45 . 2008-04-26 14:46 <DIR> d-------- C:\RVAXO 2008-04-26 14:42 . 2008-04-25 13:36 803,317 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-04-26 14:42 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-04-25 18:39 . 2008-04-25 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Malwarebytes 2008-04-25 18:38 . 2008-04-25 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-25 18:35 . 2008-04-25 18:35 <DIR> d-------- C:\_OTMoveIt 2008-04-23 14:46 . 2008-04-23 15:08 <DIR> d-------- C:\Programme\Enigma Software Group 2008-04-16 23:28 . 2008-04-16 23:28 <DIR> d-------- C:\Downloads 2008-04-16 23:18 . 2008-04-16 23:43 206 --a------ C:\WINDOWS\usdthank.ini 2008-04-16 23:18 . 2008-04-16 23:18 31 --a------ C:\WINDOWS\idc.ini 2008-04-16 16:07 . 2008-04-16 16:07 <DIR> d-------- C:\Programme\DNA 2008-04-16 16:07 . 2008-04-26 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\DNA 2008-04-10 19:36 . 2008-04-10 19:36 67 --a------ C:\WINDOWS\My Video Converter.INI 2008-04-10 19:29 . 2008-04-10 19:30 7,252,235 --a------ C:\Temp\FreeVideoToMp3Converter.exe 2008-04-10 18:54 . 2008-04-10 18:55 4,992,082 --a------ C:\Temp\FreeYouTubeDownload.exe 2008-04-08 22:03 . 2008-04-08 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-04-08 21:57 . 2008-04-08 21:57 <DIR> d-------- C:\Programme\Bonjour 2008-04-08 21:47 . 2008-04-08 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-04-01 22:25 . 2008-04-01 22:25 <DIR> d-------- C:\Programme\Java 2008-03-30 00:49 . 2008-03-30 00:49 <DIR> d-------- C:\Logs 5 Datei(en) . 8,539,573 C:\ComboFix\Bytes 4 Datei(en) . 19,455,227 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-22 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-16 23:18 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2008-04-10 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft 2008-04-08 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-04-02 18:18 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-29 22:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Skype 2008-03-24 09:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Xfire 2008-03-20 20:03 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Winamp 2008-03-20 15:53 --------- d-----w C:\Programme\Winamp Toolbar 2008-03-20 15:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-16 00:21 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Hamachi 2008-03-12 16:47 --------- d-----w C:\Programme\MySQL 2008-03-11 19:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2008-03-07 20:16 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\InstallShield 2008-03-02 23:22 --------- d-----w C:\Programme\OpenSource OGG Splitter 2008-03-02 23:22 --------- d-----w C:\Programme\Matroska 2008-03-02 23:21 --------- d-----w C:\Programme\ffdshow 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-21 01:57 54,608 ----a-w C:\WINDOWS\system32\xfcodec.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-06 20:57 8,272 ----a-w C:\WINDOWS\system32\TVProDrv.sys 2007-12-10 19:49 22,328 ----a-w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\PnkBstrK.sys . ((((((((((((((((((((((((((((( snapshot@2008-04-24_17.01.00.08 ))))))))))))))))))))))))))))))))))))))))) . - 2008-04-24 14:57:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-26 12:45:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] 2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120] [HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120] [HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-10 14:29 68856] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872] "Rainlendar2"="G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE" [2007-12-30 12:23 1365504] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-16 16:07 288576] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:45 262401] "VirtualCloneDrive"="G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.exe" [2006-04-29 15:21 94208] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 03:20 398944] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 13:47 7311360] "nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 13:47 86016] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136] "QuickTime Task"="G:\PROGRAMME\QUICKTIME\qttask.exe" [2008-01-10 16:27 385024] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "StormCodec_Helper"="g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" [2006-11-26 20:30 97357] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-01-05 01:15:31 1048576] VIA RAID TOOL.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2007-10-07 03:49:17 565248] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll "msacm.avis"= ff_acm.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"= "C:\\WINDOWS\\system32\\dpnsvr.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "G:\\XFIRE\\XFIRE.EXE"= "G:\\PROGRAMME\\QIP.EXE"= "G:\\HAMACHI\\HAMACHI.EXE"= "G:\\VEOH NETWORKS\\VEOH\\VEOHCLIENT.EXE"= "H:\\EMPIRE EARTH\\EMPIRE EARTH.EXE"= "H:\\WORLD OF WARCRAFT\\WOW.EXE"= "H:\\WOLFENSTEIN - ENEMY TERRITORY\\ET.EXE"= "H:\\COUNTER-STRIKE 1.6\\HL.EXE"= "H:\\COUNTER-STRIKE SOURCE\\HL2.EXE"= "H:\\WORLD OF PADMAN\\WOP.EXE"= "H:\\Dawn of War DK\\Dawn of War - Dark Crusade\\DarkCrusade.exe"= "Q:\\World of Warcraft\\BackgroundDownloader.exe"= "C:\\xampp\\apache\\bin\\apache.exe"= "Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\realmd.exe"= "Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\mangosd.exe"= "H:\\Dawn of War Soul Storm\\Soulstorm.exe"= "H:\\Warcraft III\\Warcraft III.exe"= "G:\\Veoh Networks\\VeohClient.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\DNA\\btdna.exe"= "F:\\cryptload\\CryptLoad_1.0.4\\RouterClient.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3306:TCP"= 3306:TCP:localhost R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 11:22] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22] R2 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice [] R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-10-25 19:02] R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-10-25 19:02] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N] \Shell\AutoRun\command - N:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O] \Shell\AutoRun\command - O:\SETUP.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9903814-735b-11dc-b2e7-0013d42a4c5c}] \Shell\AutoRun\command - E:\setupSNK.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-26 21:11:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MySQL] "ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL" . Zeit der Fertigstellung: 2008-04-26 21:12:13 ComboFix-quarantined-files.txt 2008-04-26 19:11:59 ComboFix2.txt 2008-04-24 15:01:33 14 Verzeichnis(se), 8,469,090,304 Bytes frei 17 Verzeichnis(se), 8,460,759,040 Bytes frei 178 --- E O F --- 2008-04-11 13:25:50 |
|
|
||
27.04.2008, 13:42
Moderator
Beiträge: 5694 |
#8
Hi domL
>> Mach noch das was Arnold geschrieben hat. >> Dann geh unter Start->Ausführen->gib ein: regedit -> Beabeiten -> Suchen-> gib ein: VirusIsolator Poste das Ergebis. Gruss Swiss |
|
|
||
27.04.2008, 16:12
Ehrenmitglied
Beiträge: 6028 |
#9
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen __________ MfG Argus |
|
|
||
27.04.2008, 17:50
...neu hier
Themenstarter Beiträge: 5 |
#10
So jetzt kommen einmal die Log Dateien von:
RVAXO.cmd= ---RVAXO.exe Updated: 2008-04-27---first run--- Uninstallers: Files found: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- Und von Runme.cmd= ---RVAXO.exe Updated: 2008-04-27---first run--- Uninstallers: Files found: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Not deleted items: --------------RVAXO.exe finished---------------- Und jetzt noch das aus der Registrierung: gefunden hat er den unter Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Virusisolator So ich hoffe ich hab alles richtig gemacht |
|
|
||
Hallo zusammen, da ich noch ziemlich neu in der Virenbekämpfung bin und aus den Threads der SuFu nicht schlau wurde wende ich mich nun persönlich an euch und hoffe ihr könnt mir weiterhelfen.
Nun folgen die einzelnen Schritte der anleitung:
Schritt 1: Temporäre Dateien wurden mit CCleaner beseitigt.
Schritt 2:
ComboFix 08-04-22.5 - Domi 2008-04-24 16:54:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.966 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Domi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\cbXQgFxX.dll
C:\WINDOWS\system32\EKSCJRqr.ini
C:\WINDOWS\system32\EKSCJRqr.ini2
C:\WINDOWS\system32\ogdqulwo.ini
C:\WINDOWS\system32\owluqdgo.dll
C:\WINDOWS\system32\rqRJCSKE.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.
2008-04-23 14:46 . 2008-04-23 15:08 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-22 19:42 . 2008-04-22 18:49 212,992 --a------ C:\WINDOWS\wdpoefan.dll
2008-04-22 19:42 . 2008-04-22 18:49 167,936 --a------ C:\WINDOWS\vadokmxt.dll
2008-04-22 19:42 . 2008-04-22 18:49 151,552 --a------ C:\WINDOWS\dpevflbg.dll
2008-04-22 19:42 . 2008-04-22 18:49 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-22 19:42 . 2008-04-22 18:49 81,920 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-16 23:28 . 2008-04-16 23:28 <DIR> d-------- C:\Downloads
2008-04-16 23:18 . 2008-04-16 23:43 206 --a------ C:\WINDOWS\usdthank.ini
2008-04-16 23:18 . 2008-04-16 23:18 31 --a------ C:\WINDOWS\idc.ini
2008-04-16 16:07 . 2008-04-16 16:07 <DIR> d-------- C:\Programme\DNA
2008-04-16 16:07 . 2008-04-24 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\DNA
2008-04-10 19:36 . 2008-04-10 19:36 67 --a------ C:\WINDOWS\My Video Converter.INI
2008-04-10 19:29 . 2008-04-10 19:30 7,252,235 --a------ C:\Temp\FreeVideoToMp3Converter.exe
2008-04-10 18:54 . 2008-04-10 18:55 4,992,082 --a------ C:\Temp\FreeYouTubeDownload.exe
2008-04-08 22:03 . 2008-04-08 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-04-08 21:57 . 2008-04-08 21:57 <DIR> d-------- C:\Programme\Bonjour
2008-04-08 21:47 . 2008-04-08 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-04-01 22:25 . 2008-04-01 22:25 <DIR> d-------- C:\Programme\Java
2008-03-30 00:49 . 2008-03-30 00:49 <DIR> d-------- C:\Logs
5 Datei(en) . 8,527,285 C:\ComboFix\Bytes
4 Datei(en) . 19,455,227 C:\ComboFix\Bytes
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 20:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-10 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-04-08 19:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-02 18:18 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 22:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Skype
2008-03-24 09:15 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Xfire
2008-03-20 20:03 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Winamp
2008-03-20 15:53 --------- d-----w C:\Programme\Winamp Toolbar
2008-03-20 15:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-03-16 00:21 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\Hamachi
2008-03-12 16:47 --------- d-----w C:\Programme\MySQL
2008-03-11 19:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-07 20:16 --------- d-----w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\InstallShield
2008-03-02 23:22 --------- d-----w C:\Programme\OpenSource OGG Splitter
2008-03-02 23:22 --------- d-----w C:\Programme\Matroska
2008-03-02 23:21 --------- d-----w C:\Programme\ffdshow
2007-12-10 19:49 22,328 ----a-w C:\Dokumente und Einstellungen\Domi\Anwendungsdaten\PnkBstrK.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6C54318-5AC7-477D-B0A7-49AF5189300C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-10 14:29 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"Rainlendar2"="G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE" [2007-12-30 12:23 1365504]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-16 16:07 288576]
"VirusIsolator.exe"="C:\Programme\VirusIsolator\VirusIsolator.exe" [ ]
"SpybotSD TeaTimer"="g:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:45 262401]
"VirtualCloneDrive"="G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.exe" [2006-04-29 15:21 94208]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 03:20 398944]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 13:47 7311360]
"nwiz"="nwiz.exe" [2005-11-11 13:47 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-11 13:47 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"QuickTime Task"="G:\PROGRAMME\QUICKTIME\qttask.exe" [2008-01-10 16:27 385024]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"StormCodec_Helper"="g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" [2006-11-26 20:30 97357]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXQgFxX]
cbXQgFxX.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.avis"= ff_acm.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"G:\\XFIRE\\XFIRE.EXE"=
"G:\\PROGRAMME\\QIP.EXE"=
"G:\\HAMACHI\\HAMACHI.EXE"=
"G:\\VEOH NETWORKS\\VEOH\\VEOHCLIENT.EXE"=
"H:\\EMPIRE EARTH\\EMPIRE EARTH.EXE"=
"H:\\WORLD OF WARCRAFT\\WOW.EXE"=
"H:\\WOLFENSTEIN - ENEMY TERRITORY\\ET.EXE"=
"H:\\COUNTER-STRIKE 1.6\\HL.EXE"=
"H:\\COUNTER-STRIKE SOURCE\\HL2.EXE"=
"H:\\WORLD OF PADMAN\\WOP.EXE"=
"H:\\Dawn of War DK\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"Q:\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\realmd.exe"=
"Q:\\c-Programme dazu\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\DG.v5.5.Mangos.2.3.3.PSDB.GMDB.Rev.8\\Mangos Server 2.3.3\\mangosd.exe"=
"H:\\Dawn of War Soul Storm\\Soulstorm.exe"=
"H:\\Warcraft III\\Warcraft III.exe"=
"G:\\Veoh Networks\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"F:\\cryptload\\CryptLoad_1.0.4\\RouterClient.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:localhost
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 11:22]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 20:22]
R2 Apache2.2;Apache2.2;"C:\xampp\apache\bin\apache.exe" -k runservice []
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-10-25 19:02]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-10-25 19:02]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\0data\cbs.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\SETUP.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - O:\SETUP.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9903814-735b-11dc-b2e7-0013d42a4c5c}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 16:58:11
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 17:01:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 15:01:12
12 Verzeichnis(se), 8,605,483,008 Bytes frei
15 Verzeichnis(se), 8,519,483,392 Bytes frei
194 --- E O F --- 2008-04-11 13:25:50
Schritt 3:
Logfile of HijackThis v1.99.1
Scan saved at 16:18:24, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE
C:\Programme\DNA\btdna.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
G:\Programme\qip.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {A6C54318-5AC7-477D-B0A7-49AF5189300C} - C:\WINDOWS\system32\cbXQgFxX.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - G:\Veoh Networks\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VirtualCloneDrive] "G:\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE" /S
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\PROGRAMME\QUICKTIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "g:\Dokumente und Einstellungen\Domi\Eigene Dateien\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Rainlendar2] G:\PROGRAMME\RAINLENDAR2\RAINLENDAR2.EXE
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [VirusIsolator.exe] C:\Programme\VirusIsolator\VirusIsolator.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: cbXQgFxX - C:\WINDOWS\SYSTEM32\cbXQgFxX.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Schritt 4:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182
Verzeichnis von C:\WINDOWS\system32
24.04.2008 17:00 2.206 wpa.dbl
24.04.2008 16:59 43.209 nvapps.xml
24.04.2008 16:52 0 clkcnt.txt
17.04.2008 01:18 43.520 CmdLineExt03.dll
11.04.2008 15:22 60.624 perfc009.dat
11.04.2008 15:22 400.464 perfh009.dat
11.04.2008 15:22 414.776 perfh007.dat
11.04.2008 15:22 73.500 perfc007.dat
11.04.2008 15:22 914.880 PerfStringBackup.INI
09.04.2008 16:18 1.581.344 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
01.04.2008 22:25 6.641 jupdate-1.6.0_05-b13.log
20.03.2008 10:03 1.845.376 win32k.sys
03.03.2008 17:19 16.832 amcompat.tlb
03.03.2008 17:19 23.392 nscompat.tlb
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 347.136 dxtmsft.dll
01.03.2008 14:53 124.928 advpack.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 02:33 139.264 javaws.exe
22.02.2008 02:33 69.632 javacpl.cpl
22.02.2008 01:23 135.168 javaw.exe
22.02.2008 01:23 135.168 java.exe
21.02.2008 03:57 54.608 xfcodec.dll
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
20.02.2008 07:33 148.992 dnsapi.dll
15.02.2008 07:44 161.792 ieakui.dll
06.02.2008 22:57 8.272 TVProDrv.sys
06.02.2008 22:57 86.016 Dump.ax
10.01.2008 16:27 90.112 QuickTimeVR.qtx
10.01.2008 16:27 57.344 QuickTime.qts
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182
Verzeichnis von C:\DOKUME~1\Domi\LOKALE~1\Temp
24.04.2008 17:10 107.194 datfind.txt
24.04.2008 17:04 171 jusched.log
2 Datei(en) 107.365 Bytes
0 Verzeichnis(se), 8.530.501.632 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182
Verzeichnis von C:\WINDOWS
24.04.2008 16:58 0 0.log
24.04.2008 16:58 159 wiadebug.log
24.04.2008 16:58 227 system.ini
24.04.2008 16:58 1.644.058 WindowsUpdate.log
24.04.2008 16:58 50 wiaservc.log
24.04.2008 16:57 2.048 bootstat.dat
24.04.2008 16:56 24.194 SchedLgU.Txt
23.04.2008 14:44 7.680 Thumbs.db
22.04.2008 18:49 81.920 wxvgsdbq.exe
22.04.2008 18:49 151.552 dpevflbg.dll
22.04.2008 18:49 94.208 olgdqarf.exe
22.04.2008 18:49 167.936 vadokmxt.dll
22.04.2008 18:49 212.992 wdpoefan.dll
16.04.2008 23:43 206 usdthank.ini
16.04.2008 23:18 31 idc.ini
14.04.2008 21:20 603 win.ini
10.04.2008 19:36 67 My Video Converter.INI
10.04.2008 19:23 69 NeroDigital.ini
06.02.2008 22:44 0 graphedt.INI
06.02.2008 16:42 200 SIERRA.INI
06.02.2008 16:41 264 GAME.INI
19.01.2008 19:22 659 mozver.dat
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182
Verzeichnis von C:\WINDOWS\temp
24.04.2008 16:58 0 ib6.tmp
24.04.2008 16:58 0 ib5.tmp
24.04.2008 16:58 0 ib4.tmp
24.04.2008 16:58 0 ib3.tmp
24.04.2008 16:58 0 ib2.tmp
5 Datei(en) 0 Bytes
0 Verzeichnis(se), 8.530.497.536 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC53-C182
Verzeichnis von C:\WINDOWS\Downloaded Program Files
05.10.2007 17:36 65 desktop.ini
23.03.2007 12:17 1.292 erma.inf
09.08.2004 06:02 327.680 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
5 Datei(en) 550.221 Bytes
0 Verzeichnis(se), 8.530.497.536 Bytes frei
.
.
Schritt 5:
Also das Problem ist das ich von meinen Antivirus ungefähr alle 3-4 Stunden eine Meldung von 2 gefundenen Viren bekomme die ich zwar löschen kann aber die dann immer wieder mit anderen Namen auftauchen.
In der Datei 'C:\Dokumente und Einstellungen\Domi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GVR1S0V7\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
In der Datei 'C:\WINDOWS\system32\yayvSiJY.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.