tr/vundo.gen lässt sich nicht löschen benötige einen experten o.ä :)

#1 hallo, ich habe den rechner meines kleinen bruders da und er ist völlig verseucht
da er aber fast keine treiber hat und auch die registrierung von xp kompliziert ist (tel etc.)(er hat es wohl schon zu oft gemacht) hoffe ich hier auf hilfe um den rechner wieder sauber zu bekommen ohne ihn neu installieren zu müssen!

(internetbanking und ähnliches wird gott sei dank eh nicht mit dem rechner gemacht)

so vorarbeit habe ich schon geleistet
1 CCleaner ausgeführt also abgehakt

2 combofix durchlaufen lassen erledigt hier die logdatei:

ComboFix 08-05-01.3 - Kumbischinski Nino 2008-05-05 16:28:09.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.124 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kumbischinski Nino\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Kumbischinski Nino\Startmenü\Programme\MalwareAlarm
C:\Dokumente und Einstellungen\Kumbischinski Nino\Startmenü\Programme\MalwareAlarm\MalwareAlarm.lnk
C:\Dokumente und Einstellungen\Kumbischinski Nino\Startmenü\Programme\MalwareAlarm\Uninstall.lnk
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\euiyisuo.dll
C:\WINDOWS\system32\fbddbpuu.ini
C:\WINDOWS\system32\fgjlm.ini
C:\WINDOWS\system32\fgjlm.ini2
C:\WINDOWS\system32\fvbglucg.dll
C:\WINDOWS\system32\ifpflidw.ini
C:\WINDOWS\system32\immcqijf.ini
C:\WINDOWS\system32\irrdsfax.ini
C:\WINDOWS\system32\jibuwlba.ini
C:\WINDOWS\system32\jiokbpdq.dll
C:\WINDOWS\system32\lumyhixh.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljgf.dll
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\system32\ousiyiue.ini
C:\WINDOWS\system32\qewwuhpk.ini
C:\WINDOWS\system32\ssqNGYOF.dll
C:\WINDOWS\system32\urqnopo.dll
C:\WINDOWS\system32\vvdnqbgt.ini
C:\WINDOWS\system32\vxantuma.dll
C:\WINDOWS\system32\xfwrpqrh.ini
C:\WINDOWS\system32\xsbgbklp.ini
C:\WINDOWS\system32\yayvVOig.dll
C:\WINDOWS\xpupdate.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_IPRIP
-------\Service_6to4
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-04-05 bis 2008-05-05 ))))))))))))))))))))))))))))))
.

2008-05-05 16:29 . 2008-05-05 16:29 268 --ah----- C:\sqmdata19.sqm
2008-05-05 16:29 . 2008-05-05 16:29 244 --ah----- C:\sqmnoopt19.sqm
2008-05-05 16:28 . 2008-05-05 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\Kumbischinski Nino\Anwendungsdaten\FestplattenReiniger
2008-05-05 16:23 . 2008-05-05 16:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\FestplattenReiniger
2008-05-05 16:23 . 2008-05-05 16:23 <DIR> d-------- C:\Programme\FestplattenReiniger
2008-05-05 16:23 . 2008-05-05 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FestplattenReiniger
2008-05-05 16:23 . 2007-02-13 08:09 388,126 --a------ C:\WINDOWS\system32\sqlite3.dll
2008-05-05 16:22 . 2008-05-05 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\Kumbischinski Nino\Anwendungsdaten\syskontroller
2008-05-05 16:19 . 2008-05-05 16:19 <DIR> d-------- C:\Programme\CCleaner
2008-05-05 16:17 . 2008-05-05 16:17 <DIR> d-------- C:\Programme\SysKontroller
2008-05-05 16:17 . 2008-05-05 16:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SysKontroller
2008-05-05 16:17 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-05 16:16 . 2008-05-05 16:16 264,208 --a------ C:\Dokumente und Einstellungen\Kumbischinski Nino\Anwendungsdaten\setup_de[1].exe
2008-05-05 16:02 . 2008-05-05 16:02 0 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-05 15:40 . 2008-05-05 15:40 <DIR> d-------- C:\Program Files
2008-05-05 15:34 . 2008-05-05 15:34 <DIR> d-------- C:\VundoFix Backups
2008-05-05 15:23 . 2004-08-04 07:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-05 15:23 . 2004-08-04 07:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-02 11:58 . 2008-05-02 11:58 268 --ah----- C:\sqmdata18.sqm
2008-05-02 11:58 . 2008-05-02 11:58 244 --ah----- C:\sqmnoopt18.sqm
2008-05-02 04:44 . 2008-05-02 04:44 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-02 04:40 . 2008-05-02 04:40 268 --ah----- C:\sqmdata17.sqm
2008-05-02 04:40 . 2008-05-02 04:40 244 --ah----- C:\sqmnoopt17.sqm
2008-04-30 17:51 . 2008-04-30 17:51 268 --ah----- C:\sqmdata16.sqm
2008-04-30 17:51 . 2008-04-30 17:51 244 --ah----- C:\sqmnoopt16.sqm
2008-04-14 04:39 . 2008-04-14 04:39 268 --ah----- C:\sqmdata15.sqm
2008-04-14 04:39 . 2008-04-14 04:39 244 --ah----- C:\sqmnoopt15.sqm
2008-04-12 06:35 . 2008-04-12 06:35 268 --ah----- C:\sqmdata14.sqm
2008-04-12 06:35 . 2008-04-12 06:35 244 --ah----- C:\sqmnoopt14.sqm
2008-04-05 00:00 . 2008-05-05 15:24 109,107 --a------ C:\WINDOWS\BM0f5d963a.xml
2 Datei(en) . 264,270 C:\ComboFix\Bytes
2 Datei(en) . 0 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 13:24 --------- d-----w C:\Dokumente und Einstellungen\Kumbischinski Nino\Anwendungsdaten\OpenOffice.org2
2008-05-02 10:03 --------- d-----w C:\Programme\PokerStars.NET
2008-05-02 10:03 --------- d-----w C:\Programme\PartyGaming
2008-05-01 22:37 --------- d-----w C:\Programme\Warcraft III
2008-05-01 19:53 --------- d-----w C:\Dokumente und Einstellungen\Kumbischinski Nino\Anwendungsdaten\teamspeak2
2008-04-20 01:33 --------- d-----w C:\Programme\World of Warcraft
2008-03-25 17:42 --------- d-----w C:\Programme\Gravity
2008-03-20 18:22 --------- d-----w C:\Programme\Games-Masters.com
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 18:43 4670704]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MalwareAlarm"="C:\Program Files\MalwareAlarm\MalwareAlarm.exe" [2008-05-05 15:40 438272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 16:23 262401]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-12-20 17:16 37376]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 22:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 19:22 266240]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 18:12 131072]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"SysKontroller"="C:\Programme\SysKontroller\SysRep.exe" [2007-11-19 13:38 1519104]
"ucookw"="C:\PROGRA~1\SYSKON~1\ucookw.exe" [2007-08-15 11:05 212992]
"FestplattenReiniger"="C:\Programme\FestplattenReiniger\GDC.exe" [2008-02-11 10:26 1826304]
"gdcw"="C:\Programme\FestplattenReiniger\data\GDCW.exe" [2007-12-25 16:07 81920]
"Salestart(1)"="C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" [2007-12-24 13:48 426496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqnopo]
urqnopo.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDPeer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys []
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys []
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 16:31:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-05 16:34:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 14:33:59

10 Verzeichnis(se), 106,360,868,864 Bytes frei
12 Verzeichnis(se), 106,310,815,744 Bytes frei

186 --- E O F --- 2008-05-02 02:45:25

3 Hijackthis durchlaufen lassen hier das logfile :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:01, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\snmp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198977696364
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198977676910
O20 - Winlogon Notify: urqnopo - urqnopo.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7280 bytes

4 datfind.bat laufenlassen hier die daten der letzten 3 monate :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6E-A509

Verzeichnis von c:\

05.05.2008 16:42 0 dirdat.txt
05.05.2008 16:37 805.306.368 pagefile.sys
05.05.2008 16:36 268 sqmdata00.sqm
05.05.2008 16:36 244 sqmnoopt00.sqm
05.05.2008 16:34 11.351 ComboFix.txt
05.05.2008 16:29 244 sqmnoopt19.sqm
05.05.2008 16:29 268 sqmdata19.sqm
05.05.2008 16:17 318 VundoFix.txt
02.05.2008 11:58 268 sqmdata18.sqm
02.05.2008 11:58 244 sqmnoopt18.sqm
02.05.2008 04:40 268 sqmdata17.sqm
02.05.2008 04:40 244 sqmnoopt17.sqm
30.04.2008 17:51 244 sqmnoopt16.sqm
30.04.2008 17:51 268 sqmdata16.sqm
14.04.2008 04:39 244 sqmnoopt15.sqm
14.04.2008 04:39 268 sqmdata15.sqm
12.04.2008 06:35 244 sqmnoopt14.sqm
12.04.2008 06:35 268 sqmdata14.sqm
26.03.2008 23:50 244 sqmnoopt13.sqm
26.03.2008 23:50 232 sqmdata13.sqm
26.03.2008 23:31 232 sqmdata12.sqm
26.03.2008 23:31 244 sqmnoopt12.sqm
26.03.2008 20:28 232 sqmdata11.sqm
26.03.2008 20:28 244 sqmnoopt11.sqm
26.03.2008 20:09 244 sqmnoopt10.sqm
26.03.2008 20:09 232 sqmdata10.sqm
26.03.2008 20:03 232 sqmdata09.sqm
26.03.2008 20:03 244 sqmnoopt09.sqm
26.03.2008 19:33 244 sqmnoopt08.sqm
26.03.2008 19:33 232 sqmdata08.sqm
26.03.2008 18:50 244 sqmnoopt07.sqm
26.03.2008 18:50 232 sqmdata07.sqm
26.03.2008 17:16 232 sqmdata06.sqm
26.03.2008 17:16 244 sqmnoopt06.sqm
26.03.2008 17:07 232 sqmdata05.sqm
26.03.2008 17:07 244 sqmnoopt05.sqm
26.03.2008 15:11 244 sqmnoopt04.sqm
26.03.2008 15:11 232 sqmdata04.sqm
26.03.2008 12:40 232 sqmdata03.sqm
26.03.2008 12:40 244 sqmnoopt03.sqm
11.03.2008 20:43 268 sqmdata02.sqm
11.03.2008 20:43 244 sqmnoopt02.sqm
25.02.2008 12:10 268 sqmdata01.sqm
25.02.2008 12:10 244 sqmnoopt01.sqm
30.12.2007 18:07 146 YServer.txt
30.12.2007 16:25 1.024 .rnd
30.12.2007 13:51 304 boot.ini
30.12.2007 13:46 47.564 NTDETECT.COM
30.12.2007 13:46 251.184 ntldr
30.12.2007 02:53 0 MSDOS.SYS
30.12.2007 02:53 0 CONFIG.SYS
30.12.2007 02:53 0 AUTOEXEC.BAT
30.12.2007 02:53 0 IO.SYS
18.08.2001 14:00 4.952 bootfont.bin
54 Datei(en) 805.633.055 Bytes
0 Verzeichnis(se), 106.326.478.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6E-A509

Verzeichnis von C:\WINDOWS\system32

05.05.2008 16:42 0 nmp.log
05.05.2008 16:38 0 _nvidia_xxx_.log
05.05.2008 16:16 25 clkcnt.txt
05.05.2008 15:22 2.422 wpa.dbl
02.05.2008 11:29 103.824 FNTCACHE.DAT
02.05.2008 04:44 127 MRT.INI
27.04.2008 00:00 61.886 app_filter_ui.log
05.04.2008 22:56 19.836.024 MRT.exe
31.03.2008 00:24 432.992 perfh009.dat
31.03.2008 00:24 449.248 perfh007.dat
31.03.2008 00:24 67.696 perfc009.dat
31.03.2008 00:24 80.468 perfc007.dat
31.03.2008 00:24 1.043.642 PerfStringBackup.INI
20.03.2008 10:03 1.845.376 win32k.sys
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 347.136 dxtmsft.dll
01.03.2008 14:53 124.928 advpack.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
15.02.2008 07:44 161.792 ieakui.dll
06.01.2008 20:18 34.064 lhacm.acm
76 Datei(en) 9.699.733 Bytes
0 Verzeichnis(se), 106.326.368.256 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C6E-A509

Verzeichnis von C:\DOKUME~1\KUMBIS~1\LOKALE~1\Temp

05.05.2008 16:40 114.688 ~DFC953.tmp
05.05.2008 16:38 16.384 ~DFF95F.tmp
05.05.2008 16:38 16.384 Perflib_Perfdata_1ec.dat
05.05.2008 16:36 16.384 ~DFD90E.tmp
4 Datei(en) 163.840 Bytes
0 Verzeichnis(se), 106.326.368.256 Bytes frei

ich DANKE schon einmal im voraus für eure hilfe und warte geduldigst und in freudiger erwartung eure anweisungen

gruß melaberlin

#2 Das sieht eigentlich so schon recht ordentlich aus.

Fixe in Hijackthis bitte folgendes(anhaken und fix checked druecken)

O20 - Winlogon Notify: urqnopo - urqnopo.dll (file missing)


Danach aktualisiere dein Antivir und stelle es ein wie hier beschrieben:
http://board.protecus.de/t23979.htm


Mache auch einen Kontrollscan mit malwarebytes-anti-malware:
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

Nimm aber den Download von der Orginalseite....

Melde, was gefunden wird.

Nachtrag: Der Eintrag sollte auch noch raus:

O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com
__________
MfG Ralf
SEO-Spam Hunter

#3 hallo raman

(Fixe in Hijackthis bitte folgendes(anhaken und fix checked druecken)
O20 - Winlogon Notify: urqnopo - urqnopo.dll (file missing))

ERLEDIGT


(Danach aktualisiere dein Antivir und stelle es ein wie hier beschrieben:
http://board.protecus.de/t23979.htm)

ERLEDIGT


(Mache auch einen Kontrollscan mit malwarebytes-anti-malware:
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html)

MACHE ICH GERADE !

(Nimm aber den Download von der Orginalseite....)

HABE ICH


DA DER SCAN GERADE LÄUFT UND SCHON 4 INFIZIERTE OBJEKTE GEFUNDEN HAT, WOLLTE ICH FRAGEN OB ICH DIESE GLEICH LÖSCHEN SOLL (WEI? JA NOCH NICHT WAS DAS IST!) ODER OB DU ERST (Melde, was gefunden wird.)
SEHEN WILLST WAS GEFUNDEN WURDE BEVOR ICH DA WAS LÖSCHE WAS NICHT GELÖSCHT WERDEN DARF!?

beste grüße Melaberlin

#4 Poste mal erst den Report und dann schaun wir mal, was das ist...
__________
MfG Ralf
SEO-Spam Hunter

#5 so geschafft scan ist fertig

hier das log file :
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 719

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|)
Objekte gescannt: 77665
Scan Dauer: 39 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicher Prozesse:
c:\programme\gemeinsame dateien\festplattenreiniger\stm.exe (Rogue.Multiple) -> No action taken.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Salestart(1) (Rogue.Multiple) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\festplattenreiniger\stm.exe (Rogue.Multiple) -> No action taken.
C:\Programme\Gemeinsame Dateien\SysKontroller\strpmon.exe (Rogue.SystemErrorFixer) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP73\A0028156.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP74\A0029167.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0044713.exe (Rogue.PCPrivacyTool) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0045133.dll (Rogue.Multiple) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0045139.dll (Rogue.Multiple) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0045140.dll (Rogue.Multiple) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0045141.dll (Rogue.Multiple) -> No action taken.
C:\System Volume Information\_restore{D72666FD-B83F-4314-BFCA-1595056C7514}\RP91\A0045159.exe (Rogue.SystemErrorFixer) -> No action taken.

bitte bitte lass es nimmer so viel sein

danke übrigens auch für die überaus schnelle hilfe raman

PS habe noch nichts gelöscht o.ä nur das log gepostet (fenster von malware...also noch offen hab

#6 Du kannst die Funde alle loeschen lassen....
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Melaberlin

Poste ein neues Log von Combofix und HiJackThis.

Gruss Swiss

#8 danke dir ralf

habe noch mal scannen lassen mit anti vir und und und..... alles schön
kein piepsen keine fehler freu freu*

so dann kann ich den rechner ja abstöpseln und mir im anschluss mal den rechner meiner mutter vornehmen *gg*
ich hoffe wir lesen uns nicht so schnell wieder.
soll heissen ich hoffe der rechner meiner ma ist sauber

fühl dich gedrückt

liebe grüße mela

#9 hallo

wie oben schon geschrieben binich nun mit dem rechner meiner ma am gange

er zeigt mir zwar keinen trojaner oder virus an aber er schläft förmlich ein (das hatte er als ich ihn installierte und auch später nicht!

keine ahnung woran das auf einmal liegen könnte, ausserdem hängt er sich öfter auf und nichts geht mehr!

habe einfach mal CCleaner combofix Hijackthis und datfind.bat durchlaufen lassen.

könntet ihr mal einen blick drauf werfen und mir sagen ob soweit alles ok ist? dann kann ich verseuchung schon mal als problemquelle ausschließen!

danke euch im voraus für eure hilfe gruß mela

so hier die logs
1 combofix
ComboFix 08-05-01.3 - hannelore 2008-05-05 21:59:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.295 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\hannelore\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-05 bis 2008-05-05 ))))))))))))))))))))))))))))))
.

2008-05-05 21:53 . 2008-05-05 21:53 <DIR> d-------- C:\Programme\CCleaner
2008-04-16 16:23 . 2008-04-16 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\hannelore\Anwendungsdaten\Talkback

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 19:50 --------- d-----w C:\Dokumente und Einstellungen\hannelore\Anwendungsdaten\OpenOffice.org2
2008-03-31 18:23 --------- d-----w C:\Programme\eMule
2008-03-25 09:19 --------- d-----w C:\Dokumente und Einstellungen\hannelore\Anwendungsdaten\IEPro
2008-03-25 09:18 --------- d-----w C:\Programme\IEPro
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-17 12:59 --------- d-----w C:\Programme\Java
2008-03-17 08:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-03-17 08:15 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-17 08:15 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-05 12:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-10-16 17:52 60,928 ----a-w C:\Dokumente und Einstellungen\hannelore\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 22:49 4662776]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-12-07 16:11 204843]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"Timerle"="Z:\Timerle\Timerle.exe" [2006-02-19 18:38 160899]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"Dit"="Dit.exe" [2002-08-28 14:43 73728 C:\WINDOWS\Dit.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-06 19:07 188416]
"four readme city time"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme\01 extra.exe" [2007-01-24 16:57 523776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-07 10:31 98304]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43 28672]
"RegistryMechanic"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 19:39 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

C:\Dokumente und Einstellungen\hannelore\Startmen�\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-06-17 14:14:33 679936]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\IEPro\\MiniDM.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule
"4672:UDP"= 4672:UDP:emule udp

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-04-09 08:43]
S3 NTProcDrv;Process creation detector for NT.;C:\Programme\Silkroad\NtProcDrv.sys []
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 20:00:01 C:\WINDOWS\Tasks\B702179384ED948F.job"
- c:\dokume~1\hannel~1\anwend~1\mathbi~1\fragsettingsvc.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 22:01:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-05 22:03:37
ComboFix-quarantined-files.txt 2008-05-05 20:03:25

6 Verzeichnis(se), 30,701,674,496 Bytes frei
8 Verzeichnis(se), 30,691,995,648 Bytes frei

101 --- E O F --- 2008-04-10 01:04:31

2 Hijackthis log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05:33, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
Z:\Timerle\Timerle.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [four readme city time] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme\01 extra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Timerle] "Z:\Timerle\Timerle.exe" -q
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: ITSRS Birthday Alarm 2006.lnk = C:\ITSRS\BirthdayAlarm2006\BirthdayAlarm2006.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 6718 bytes

3 datfind.bat log (die letzen 3 monate)
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\WINDOWS\system32

05.05.2008 21:51 2.206 wpa.dbl
10.04.2008 03:10 227.208 FNTCACHE.DAT
06.04.2008 07:56 19.836.024 MRT.exe
31.03.2008 16:50 311.604 perfh009.dat
31.03.2008 16:50 39.992 perfc009.dat
31.03.2008 16:50 316.594 perfh007.dat
31.03.2008 16:50 48.156 perfc007.dat
31.03.2008 16:50 723.744 PerfStringBackup.INI
20.03.2008 10:03 1.845.376 win32k.sys
17.03.2008 14:59 6.641 jupdate-1.6.0_05-b13.log
01.03.2008 18:24 3.591.680 mshtml.dll
01.03.2008 14:54 233.472 webcheck.dll
01.03.2008 14:54 826.368 wininet.dll
01.03.2008 14:54 44.544 pngfilt.dll
01.03.2008 14:54 1.159.680 urlmon.dll
01.03.2008 14:54 105.984 url.dll
01.03.2008 14:54 671.232 mstime.dll
01.03.2008 14:54 102.912 occache.dll
01.03.2008 14:54 193.024 msrating.dll
01.03.2008 14:54 478.208 mshtmled.dll
01.03.2008 14:53 52.224 msfeedsbs.dll
01.03.2008 14:53 459.264 msfeeds.dll
01.03.2008 14:53 1.831.424 inetcpl.cpl
01.03.2008 14:53 27.648 jsproxy.dll
01.03.2008 14:53 267.776 iertutil.dll
01.03.2008 14:53 44.544 iernonce.dll
01.03.2008 14:53 6.066.176 ieframe.dll
01.03.2008 14:53 384.512 iedkcs32.dll
01.03.2008 14:53 214.528 dxtrans.dll
01.03.2008 14:53 133.120 extmgr.dll
01.03.2008 14:53 63.488 icardie.dll
01.03.2008 14:53 153.088 ieakeng.dll
01.03.2008 14:53 383.488 ieapfltr.dll
01.03.2008 14:53 230.400 ieaksie.dll
01.03.2008 14:53 347.136 dxtmsft.dll
01.03.2008 14:53 124.928 advpack.dll
29.02.2008 10:54 70.656 ie4uinit.exe
22.02.2008 12:00 13.824 ieudinit.exe
22.02.2008 03:33 139.264 javaws.exe
22.02.2008 03:33 69.632 javacpl.cpl
22.02.2008 02:23 135.168 javaw.exe
22.02.2008 02:23 135.168 java.exe
21.02.2008 11:35 5.686 jupdate-1.6.0_03-b05.log
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 148.992 dnsapi.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
15.02.2008 07:44 161.792 ieakui.dll
13.12.2007 04:02 387.268 TZLog.log

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\DOKUME~1\HANNEL~1\LOKALE~1\Temp

05.05.2008 22:06 97.880 datfind.txt
05.05.2008 21:49 49.152 ~DFCBFF.tmp
2 Datei(en) 147.032 Bytes
0 Verzeichnis(se), 30.700.093.440 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\WINDOWS

05.05.2008 22:01 227 system.ini
05.05.2008 21:49 2.063.065 WindowsUpdate.log
05.05.2008 21:48 2.048 bootstat.dat
05.05.2008 15:15 32.234 SchedLgU.Txt
20.04.2008 13:44 54.156 QTFont.qfn
19.04.2008 20:19 1.125 winamp.ini
10.04.2008 03:03 1.024.083 setupapi.log.0.old
21.02.2008 11:36 1.603 mozver.dat
24.01.2008 00:40 253.952 Setup1.exe
24.01.2008 00:40 74.752 ST6UNST.EXE
24.12.2007 11:54 69 NeroDigital.ini
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.11.2007 17:04 1.523.536 FP_AX_CAB_INSTALLER.exe
20.11.2007 16:50 247 swflash.inf
01.01.2007 15:25 65 desktop.ini
09.08.2004 07:02 327.680 isusweb.dll
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
6 Datei(en) 2.072.712 Bytes
0 Verzeichnis(se), 30.700.085.248 Bytes frei
.
.
.


lieben dank euch helfern
ich hoffe ihr habt gute nachrichten für mich

#10 Mit den ersten Rechner bist du noch nicht fertig und jetzt schon die zweite?

LOP-uninstall
Download LOP-uninstall zum Desktop
Fuehre bei “Uninstall verification“ die siebenstellige Zahl ein und klicke “Uninstall“
Klicke bei “Legal notice” ok
Schliesse alle Fenster und klicke ok
Warte…..und klicke bei “Uninstall complete for all users “ok

Download Deljob.exe zum Desktop
Doppelklick: Deljob.exe
Ein logfile wird sich oeffnen (logit.txt)
Kopiere den Inhalt des Berichts “ logit.txt in diesen Thread
__________
MfG Argus

#11 hallo,

"Mit den ersten Rechner bist du noch nicht fertig und jetzt schon die zweite?"
Der erste Rechner dachte ich wäre fertig!

"Hallo Melaberlin
Poste ein neues Log von Combofix und HiJackThis.

Gruss Swiss"

das hat sich mit meinem post überschnitten, so das ich es erst jetzt gesehen habe.
aber der erste rechner schimpft nicht mehr läuft schnell und egal welcher scan durchlief keiner meckerte!


so nun zu dem rechner

LOP-uninstall habe ich ausgeführt!


und hier das log von deljob.

--------------------------------------------------------
Backups created in C:\deljob

B702179384ED948F.job
--------------------------------------------------------
Files in Windows Tasks folder

--------------------------------------------------------
Export App Data folders
--------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\Dokumente und Einstellungen\hannelore\Anwendungsdaten

06.05.2008 06:55 <DIR> .
06.05.2008 06:55 <DIR> ..
04.12.2007 14:48 <DIR> Adobe
22.05.2007 17:51 <DIR> Ahead
24.06.2007 00:06 <DIR> BFGTOO~1 BFGTOOLBAR
24.01.2007 16:55 <DIR> BITDOW~1 BitDownload
21.11.2007 22:30 <DIR> BITTOR~1 BitTorrent
09.02.2007 15:34 <DIR> DivX
18.06.2007 19:50 <DIR> FRITZ!
09.02.2008 13:56 <DIR> GAMEHO~1 GameHouse
05.02.2007 21:14 <DIR> Help
27.01.2008 23:23 <DIR> IDENTI~1 Identities
25.03.2008 11:19 <DIR> IEPro
01.01.2007 18:15 <DIR> MACROM~1 Macromedia
13.02.2008 11:16 <DIR> MICROS~1 Microsoft
06.05.2008 06:54 <DIR> MiniDm
01.01.2007 16:50 <DIR> Mozilla
07.06.2007 08:35 <DIR> MUSICM~1 Musicmatch
05.05.2008 21:50 <DIR> OPENOF~1.ORG OpenOffice.org2
24.06.2007 00:16 <DIR> PHONOS~1 phonostar-Player
17.01.2007 16:58 <DIR> PLAYFI~1 PlayFirst
01.01.2007 18:22 <DIR> Sun
16.04.2008 16:23 <DIR> Talkback
14.08.2007 19:45 <DIR> TEAMSP~1 teamspeak2
24.01.2008 00:16 <DIR> Timerle
24.12.2007 15:13 <DIR> uTorrent
27.01.2008 23:23 <DIR> Zylom
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 30.795.370.496 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D436-DE4D

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

06.05.2008 06:55 <DIR> .
06.05.2008 06:55 <DIR> ..
07.02.2008 07:59 <DIR> Adobe
12.07.2007 09:05 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
12.02.2008 09:27 <DIR> BIGFIS~1 BigFishGamesCache
17.03.2008 10:17 <DIR> INSTAL~1 InstallShield
05.03.2008 14:14 <DIR> Lavasoft
17.01.2008 17:40 <DIR> MICROS~1 Microsoft
09.02.2008 13:57 <DIR> MUMBOJ~1 MumboJumbo
09.02.2008 13:56 <DIR> N7-89-~1 n7-89-o9-3r-4t-r9
30.11.2007 15:57 <DIR> NEPTUN~1 NeptunesAdve
17.01.2007 16:58 <DIR> PLAYFI~1 PlayFirst
07.04.2007 10:31 <DIR> QUICKT~1 QuickTime
14.02.2007 20:54 <DIR> SONYER~1 Sony Ericsson
12.02.2008 09:44 <DIR> TEMP
30.10.2007 23:55 <DIR> TERMIN~1 TERMINAL Studio
01.01.2007 18:33 <DIR> Trymedia
01.01.2007 16:37 <DIR> WINDOW~1 Windows Genuine Advantage
24.09.2007 20:50 <DIR> WINDOW~2 Windows Live Toolbar
17.01.2008 17:34 <DIR> WLINST~1 WLInstaller
09.01.2007 16:54 <DIR> Yahoo!
12.01.2007 21:54 <DIR> YAHOO!~1 Yahoo! Companion
19.01.2008 18:10 <DIR> Zylom
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 30.795.370.496 Bytes frei
--------------------------------------------------------
All User Accounts
--------------------------------------------------------
All Users
hannelore
--------------------------------------------------------

beste grüße Mela

#12 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [four readme city time] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme\01 extra.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne auf C:\deljob

GV Killer
Download GV-Killer zum Desktop

Doppelklick GV-Killer und Editor wird sich oeffnen
Wenn schon ein text da steht entferne es und kopiere dass unterstehende wieder rein:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme

Schliesse den Editor und Speichere die Daten
Klicke " Kill on reboot " und lass dein Rechner neu starten
GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis die Ordner zu entfernen
Wenn es gelungen ist GV_Killer abschliessen

Poste den Logfile GV_Killer_01.txt

Erstellen einer Uninstall Liste
Starte Hijackthis, waehle "Open the Misc Tools section", oeffne "Open Uninstall Manager", drücke dort "Save list...". Sobald die Liste gespeichert wird, öffnet sich ein Fenster mit den entsprechenden Eintraegen. Bitte diese auch in den eigenen Thread kopieren.
__________
MfG Argus

#13 hallo,

1 ) Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei
O4 - HKLM\..\Run: [four readme city time] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme\01 extra.exe
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
ERLEDIGT

2 ) GV Killer
Download GV-Killer zum Desktop
Doppelklick GV-Killer und Editor wird sich oeffnen
Wenn schon ein text da steht entferne es und kopiere dass unterstehende wieder rein:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme
Schliesse den Editor und Speichere die Daten
Klicke " Kill on reboot " und lass dein Rechner neu starten
GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis die Ordner zu entfernen
Wenn es gelungen ist GV_Killer abschliessen
ERLEDIGT
hier das log:
Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 06.05.2008 11:31:48 log van hannelore , Beheerder van deze computer
Platform: Windows XP Home SP2 DEU Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
WgaLogon WgaLogon.dll
Settings
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme
EINDE Inhoud van Input.txt-----------------------------------------------------------

53 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wma Software Four Readme

;4955372-OEM-0011903-00126=5JT4JH9531

;EINDE GV_Killer ---------------------------------------------------------------------

3 ) Erstellen einer Uninstall Liste
Starte Hijackthis, waehle "Open the Misc Tools section", oeffne "Open Uninstall Manager", drücke dort "Save list...". Sobald die Liste gespeichert wird, öffnet sich ein Fenster mit den entsprechenden Eintraegen. Bitte diese auch in den eigenen Thread kopieren.
ERLEDIGT
hier das log:
AC3Filter (remove only)
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Deutsch
Atlantis Quest
Audition
Avance AC'97 Audio
Avira AntiVir Personal – Free Antivirus
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
AVM FRITZ!DSL
Big Fish Games Client
Bookworm (remove only)
Bricks of Camelot
CCleaner (remove only)
DivX Codec
DivX Content Uploader
DivX Player
Emerald Tale Deluxe
eMule
GV_Killer 7.0.7
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB914440)
hp deskjet 3816 series (nur entfernen)
IE7Pro
Inca Ball
IncrediMail Xe
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Luxor 2 Deluxe
Luxor 3
Medion Flash XL
Microsoft AutoRoute 2002
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Encarta Enzyklopädie 2003
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Picture It! Foto 7.0
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Word 2002
Microsoft Works 2003-Setup-Start
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (2.0.0.14)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
O&O SafeErase
OpenOffice.org 2.2
Pantheon Deluxe
Pinball Fußball-Edition
Polar Fox 1.0
QuickTime
Registry Mechanic 6.0
Shockwave
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Silkroad
Sparkle Deluxe
Sven - Gut zu Vögeln
Sven Kommt
The Rise of Atlantis (remove only)
Timerle 1.04
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Winamp (remove only)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows XP Service Pack 2
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
WinRAR Archivierer
XviD MPEG-4 Codec
Yahoo! Extras
Yahoo! Install Manager
Yahoo! Internet Mail
Yahoo! Messenger
Yahoo! Toolbar mit Pop-Up-Blocker

(wusste gar nicht das muttern so viel zeugs drauf hat

danke dir arnold schon einmal für deine hilfe
so dann mal schauen wie es weiter geht
gruß mela

#14 Entferne via Software:
GV_Killer 7.0.7
Registry Mechanic 6.0

Java: http://board.protecus.de/t32385.htm

Ich benutze selber kein CCleaner aber CleanUp

CleanUP
Anleitung: http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Starte dein Rechner neu

Als Spyware Scanner geh ich fuer :

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
__________
MfG Argus

#15 so alles abgearbeitet
Entferne via Software:
GV_Killer 7.0.7
Registry Mechanic 6.0

dazu noch alle nicht mehr gespielten spiele entfernt

java gelöscht und neu installiert

clean up laufen lassen und gleich neu eingestellt (häckchen raus bei delete ...)

neu gestartet

malewarebytes laufen lassen und gefundenes gelöscht.

War es das (hoff hoff) oder muss ich noch etwas tun?
defragmentieren etc?

gruß mela