Brauche Hilfe! TR/Vundo.Gen mit Logs

#0
28.04.2008, 20:51
...neu hier

Beiträge: 2
#1 Hallo!

Ich habe mir obigen Virus eingefangen und habe schon einmal das gemacht, was Sabina einem anderen User aufgetragen hat:

arbeite das ab und poste alle logs hier
http://board.protecus.de/t23188.htm

Also den CC Cleaner drüberlaufen lassen, Combofix, Hijackthis und Datfind, die Logs lauten so: ComboFix 08-04-27.3 - Administrator 2008-04-28 20:29:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.485 [GMT 2:00]
ausgeführt von:: d:\Dokumente_und_Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ljJCvVOG.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 ))))))))))))))))))))))))))))))
.

2008-04-28 17:58 . 2008-04-28 17:58 <DIR> d-------- C:\Programme\CCleaner
2008-04-28 16:35 . 2008-04-28 16:35 <DIR> d-------- d:\Dokumente_und_Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-28 16:03 . 2008-04-28 16:03 <DIR> d-------- C:\VundoFix Backups
2008-04-28 11:53 . 2008-04-28 20:33 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-28 11:53 . 2008-04-28 11:53 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-13 21:06 . 2008-04-13 21:06 <DIR> d-------- C:\Logs
2008-04-09 22:28 . 2008-04-09 22:28 <DIR> d-------- C:\Programme\iPod
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 18:34 --------- d-----w d:\Dokumente_und_Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-04-28 18:33 --------- d-----w C:\Programme\WinTV
2008-04-28 18:17 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-04-28 16:19 --------- d-----w d:\Dokumente_und_Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-28 16:17 --------- d-----w C:\Programme\SlySoft
2008-04-26 19:17 --------- d-----w d:\Dokumente_und_Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-04-22 16:48 --------- d-----w C:\Programme\Azureus
2008-04-13 19:10 --------- d-----w C:\Programme\World of Warcraft
2008-04-09 20:28 --------- d-----w C:\Programme\iTunes
2008-03-20 10:16 --------- d-----w C:\Programme\Safari
2008-03-14 19:45 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-13 15:32 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-03-03 13:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-03-03 13:51 --------- d-----w C:\Programme\Cisco Systems
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6C54318-5AC7-477D-B0A7-49AF5189300C}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 12:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 21:09 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]
"EPGServiceTool"="C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe" [2006-11-28 16:07 688128]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"hcwemMON"="hcwemMON.exe" [2007-03-29 23:22 61440 C:\WINDOWS\hcwemMON.exe]
"QuickTime Task"="C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvVOG]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\World of Warcraft\\Launcher.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2006-11-28 17:17]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-08-05 14:00]
R3 RTHDMIAzAudService;Service for HDMI;C:\WINDOWS\system32\drivers\RtHDMI.sys [2007-01-11 17:36]
S3 iatmunin;iatmunin;d:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\iatmunin.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;I:\NTGLM7X.sys []
S3 USB28xxBGA;WinTV HVR-900;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2007-01-30 03:20]
S3 USB28xxOEM;WinTV OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2007-01-30 03:19]

.
Inhalt des "geplante Tasks" Ordners
"2008-04-23 20:20:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-28 20:33:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\0.log 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\WinTV\EPG Services\System\EPGClient.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.bin
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-28 20:36:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-28 18:36:12

10 Verzeichnis(se), 15,928,782,848 Bytes frei
12 Verzeichnis(se), 15,965,257,728 Bytes frei

131 --- E O F --- 2008-04-16 12:03:14


Das Log von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:36, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\hcwemMON.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\Dokumente_und_Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [hcwemMON] hcwemMON.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186257507034
O17 - HKLM\System\CCS\Services\Tcpip\..\{3668B482-3C7F-4CA7-8390-4F44C56746DF}: Domain = sfb.uni-tuebingen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nphil.uni-tuebingen.de,sfb.uni-tuebingen.de,sfs.uni-tuebingen.de,uni-tuebingen.de,zdv.uni-tuebingen.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{3668B482-3C7F-4CA7-8390-4F44C56746DF}: Domain = sfb.uni-tuebingen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = nphil.uni-tuebingen.de,sfb.uni-tuebingen.de,sfs.uni-tuebingen.de,uni-tuebingen.de,zdv.uni-tuebingen.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{3668B482-3C7F-4CA7-8390-4F44C56746DF}: Domain = sfb.uni-tuebingen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nphil.uni-tuebingen.de,sfb.uni-tuebingen.de,sfs.uni-tuebingen.de,uni-tuebingen.de,zdv.uni-tuebingen.de
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9835 bytes


Und das Log von Datfind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E468-8B76

Verzeichnis von C:\WINDOWS\system32

28.04.2008 20:33 2.206 wpa.dbl
16.04.2008 13:56 391.274 perfh009.dat
16.04.2008 13:56 57.548 perfc009.dat
16.04.2008 13:56 404.482 perfh007.dat
16.04.2008 13:56 70.006 perfc007.dat
16.04.2008 13:56 934.598 PerfStringBackup.INI
09.04.2008 18:39 171.488 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
28.03.2008 23:37 90.112 QuickTimeVR.qtx
28.03.2008 23:37 57.344 QuickTime.qts
20.03.2008 10:03 1.845.376 win32k.sys
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 347.136 dxtmsft.dll
01.03.2008 14:53 124.928 advpack.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
20.02.2008 07:33 148.992 dnsapi.dll
15.02.2008 07:44 161.792 ieakui.dll
29.01.2008 12:02 107.368 GEARAspi.dll

.
.
.
Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 6C2B-B41F

Verzeichnis von d:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

28.04.2008 20:40 110.204 datfind.txt
28.04.2008 20:33 16.384 ~DFF92.tmp
2 Datei(en) 126.588 Bytes
0 Verzeichnis(se), 137.002.287.104 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E468-8B76

Verzeichnis von C:\WINDOWS

28.04.2008 20:33 54.156 QTFont.qfn
28.04.2008 20:33 0 0.log
28.04.2008 20:33 1.157.067 WindowsUpdate.log
28.04.2008 20:33 159 wiadebug.log
28.04.2008 20:33 50 wiaservc.log
28.04.2008 20:33 227 system.ini
28.04.2008 20:33 2.048 bootstat.dat
28.04.2008 20:32 32.590 SchedLgU.Txt
28.04.2008 11:53 1.409 QTFont.for
24.04.2008 17:37 3.738 HCWPNP.INI
23.03.2008 01:05 116 NeroDigital.ini
13.03.2008 17:33 2.554 unins000.dat
13.03.2008 17:32 691.545 unins000.exe
03.03.2008 15:51 1.594 VPNInstall.MIF
02.02.2008 15:12 72 S6E99D0B0.tmp
18.12.2007 00:48 0 iPlayer.INI
29.10.2007 18:22 323 doom3.ini
04.10.2007 18:03 399 vtplus32.ini
04.10.2007 18:03 31.096 Irremote.ini
04.10.2007 18:01 483 ODBC.INI
04.10.2007 18:01 4.161 ODBCINST.INI

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E468-8B76

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E468-8B76

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.08.2007 20:55 65 desktop.ini
16.04.2007 22:50 293 wuweb.inf
28.02.2007 20:24 361 OGAControl.inf
28.08.2006 11:05 227 opuc.inf
4 Datei(en) 946 Bytes
0 Verzeichnis(se), 15.978.721.280 Bytes frei
.
.
.

Ich habe auch schon Anti-Vir bemüht, das bei einem Systemscan den Virus nicht findet, aber mit ständig eine Meldung bringt, dass "TR/Vundo.Gen" bei mir gefunden wurde. Ich kann ihn aber mit Anti-Vir nicht löschen. Spybot SDS hat ihn nicht gefunden und das Removal Tool Vundofix findet nichts.
Es wäre super, wenn mir jemand weiterhelfen kann, ich weiss echt nicht mehr weiter!
Vielen Dank schon mal und liebe Grüße, BEttina
Dieser Beitrag wurde am 29.04.2008 um 01:45 Uhr von bloomianity editiert.
Seitenanfang Seitenende
29.04.2008, 10:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

««
Spybot - Search & Destroy\TeaTimer.exe - kurzzeitig deaktivieren

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

Driver::
iatmunin

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6C54318-5AC7-477D-B0A7-49AF5189300C}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvVOG]

File::
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\iatmunin.sys

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



«
danach: Combofix noch einmal anwenden

«
PC neustarten

----------------------

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
scanne mit Malwarebytes, dann sollte wieder alles i.o. sein ;)
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2008, 17:47
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,
vielen Dank für deine schnelle Hilfe; ich glaube, das Ding ist runter vom Rechner, unten schicke ich dir nochmal den Bericht von Malwarebytes. Es kommen auch keine Warnungen mehr von Anti-Vir, juhu!
Ganz liebe Grüße von Bettina

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 694

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 95705
Scan Dauer: 38 minute(s), 58 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: