TR/Dldr.Small.vfx eingefangen!

#0
11.05.2008, 21:41
...neu hier

Beiträge: 2
#1 Hallo hier im Forum.

Mein Freund hat sich auf meinem Rechner einen keygen installiert und jetzt kommen tausende von Viruswarnungen. Ich habe dann alles gelöscht, aber es ist der TR/Dldr.Small.vfx übrig geblieben.

Der Taskmanager geht nicht mehr und alle Symbole rechts unten bei der Uhr sind weg.

Da ich den PC für meine Arbeit verwende, wäre ein Format C: nicht gut - zumal ich nicht weiß, wieviele meiner Dateien infiziert worden sind.

Ich bin für jede Hilfe dankbar und wüßte gerne:

1. was der Virus macht
2. ob ich mir Sorgen um meine Dateien machen muss
3. wie ich den entfernt bekomme

Hier das Highjackthis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 21:04:28, on 11.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\DeltaIITray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ZipGenius 6\zipgenius.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ZGTemp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dslreports.com/speedtest
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: pvnsmfor - {C17C95A8-9A32-4250-8F46-D7DFBB4B4947} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [74585bdc] rundll32.exe "C:\WINDOWS\system32\ujflqwcj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O21 - SSODL: mpfanvqg - {1CF96AD3-CC05-415F-A3DB-B3A40C524FB9} - C:\WINDOWS\mpfanvqg.dll (file missing)
O21 - SSODL: vbksrofa - {96A821C1-4D26-4CAC-888D-060C9BF09502} - C:\WINDOWS\vbksrofa.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Vielen Dank schonmal im Voraus
(und ich habe nun Konten erstellt, dass sich niemand mehr außer mir als Admin anmelden kann)
Seitenanfang Seitenende
11.05.2008, 23:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Illchen

0.
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O3 - Toolbar: pvnsmfor - {C17C95A8-9A32-4250-8F46-D7DFBB4B4947} - C:\WINDOWS\pvnsmfor.dll

O4 - HKLM\..\Run: [74585bdc] rundll32.exe"C:\WINDOWS\system32\ujflqwcj.dll",b

O21 - SSODL: mpfanvqg - {1CF96AD3-CC05-415F-A3DB-B3A40C524FB9} - C:\WINDOWS\mpfanvqg.dll (file missing)

O21 - SSODL: vbksrofa - {96A821C1-4D26-4CAC-888D-060C9BF09502} - C:\WINDOWS\vbksrofa.dll
2.
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

3.
scanne mit malwarebytes, lasse alles gefundene entfernen +poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

4.
scanne mit combofix, klicke die Warnmeldung weg+poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2008, 01:23
...neu hier

Themenstarter

Beiträge: 2
#3 Vielen Dank Sabina, für die schnelle Antwort!

Ich habe alles nach deiner Anleitung gemacht.
Hier die Logfiles:

---RVAXO.exe Updated: 2008-05-10---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\HNmlknnn.ini2
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\clkcnt.txt
C:\Dokumente und Einstellungen\Administrator\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\FAVORI~1\Spyware&Malware Protection.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished---------------------------------------


Malwarebytes' Anti-Malware 1.12
Datenbank Version: 740

Scan Art: Schnell Scan
Objekte gescannt: 33038
Scan Dauer: 6 minute(s), 22 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\nnnklmNH.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccbYroN.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12bd6d7b-dbdd-4cc0-9cb3-9490baba5ece} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{12bd6d7b-dbdd-4cc0-9cb3-9490baba5ece} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccbyron (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{95e554e1-04f3-4d9b-a4e9-881dc420882b} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{85116c11-b265-4635-8fd8-a500007a6915} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5269d0c0-572b-445a-88ac-8c8843b6d42b} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{69c1ef64-a396-4490-8849-52af7f7ec6e5} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{f5f40e25-cf4d-434e-a6ae-ed625ae87cab} (Trojan.Fakealert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.btqr (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnklmnh -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnklmnh -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nnnklmNH.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\HNmlknnn.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\HNmlknnn.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ujflqwcj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jcwqlfju.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccbYroN.dll (Trojan.Vundo) -> No action taken.
----------------------------------------------------------------------





ComboFix:
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-11 bis 2008-05-11 ))))))))))))))))))))))))))))))
.

2008-05-12 00:02 . 2008-05-12 00:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-12 00:02 . 2008-05-12 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-12 00:02 . 2008-05-12 00:02 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Malwarebytes
2008-05-12 00:02 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-12 00:02 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-11 23:56 . 2008-05-11 23:57 <DIR> d-------- C:\RVAXO
2008-05-11 23:52 . 2008-05-10 12:18 818,420 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-11 23:52 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-11 22:50 . 2008-05-11 22:50 <DIR> d-------- C:\Programme\Smart PC Solutions
2008-05-11 22:27 . 2008-05-11 23:09 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\TmpRecentIcons
2008-05-11 20:45 . 2008-05-11 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Thinstall
2008-05-11 20:36 . 2008-05-12 00:12 31,736 --ahs---- C:\WINDOWS\system32\HNmlknnn.ini
2008-05-11 20:15 . 2008-05-11 20:15 <DIR> d-------- C:\Programme\Free RAR Extract Frog
2008-05-11 19:16 . 2008-05-11 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-05-11 17:09 . 2008-05-11 17:09 <DIR> d-------- C:\Programme\Bonjour
2008-05-11 15:38 . 2008-05-11 15:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-11 13:22 . 2008-05-11 13:22 <DIR> d-------- C:\WINDOWS\Sun
2008-05-08 22:49 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-05-08 22:49 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-05-08 22:49 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-08 22:49 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-05-03 01:39 . 2008-05-03 01:39 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-05-01 04:29 . 2008-05-01 04:30 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-05-01 04:29 . 2008-05-01 12:39 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\FileZilla
2008-04-29 23:41 . 2008-04-29 23:41 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-04-29 23:41 . 2008-04-29 23:41 225,280 --a------ C:\WINDOWS\system32\ReWire.dll
2008-04-29 23:21 . 2008-05-11 13:52 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-28 07:50 . 2008-04-28 07:50 <DIR> d-------- C:\Programme\TFM
2008-04-28 01:02 . 2008-04-28 01:02 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\aignes
2008-04-28 00:47 . 2008-04-28 01:01 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Free Monitor for Google
2008-04-28 00:42 . 2008-04-28 00:44 <DIR> d-------- C:\Programme\MP3Gain
2008-04-28 00:41 . 2008-04-28 00:41 <DIR> d-------- C:\Programme\PHP
2008-04-28 00:31 . 2008-04-28 00:31 <DIR> d-------- C:\Programme\Pure Motion
2008-04-28 00:29 . 2008-04-28 00:30 <DIR> d-------- C:\Programme\DebugMode
2008-04-28 00:08 . 2008-04-28 00:08 <DIR> d-------- C:\Programme\Free Monitor for Google
2008-04-27 23:38 . 2008-04-27 23:38 <DIR> d-------- C:\Programme\CityDesk
2008-04-27 23:29 . 2008-04-27 23:29 <DIR> d-------- C:\Programme\AM-DeadLink
2008-04-27 13:07 . 2008-05-12 00:32 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\OpenOffice.org2
2008-04-27 10:42 . 2008-04-27 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Meridian93
2008-04-27 03:00 . 2008-05-04 03:20 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-27 00:42 . 2008-04-27 00:42 <DIR> d-------- C:\Programme\DivX
2008-04-27 00:42 . 2008-04-27 00:43 680 --a------ C:\WINDOWS\mozver.dat
2008-04-26 17:21 . 2008-04-26 17:21 <DIR> d-------- C:\Programme\vtplus
2008-04-26 17:20 . 2008-04-26 17:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\IviSDK
2008-04-26 17:19 . 2008-04-26 17:21 <DIR> d-------- C:\Programme\WinTV
2008-04-26 17:18 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-26 17:14 . 2008-04-26 17:14 <DIR> d-------- C:\hcw2_4a_23257pp2
2008-04-26 01:48 . 2008-04-26 01:48 <DIR> d-------- C:\Programme\directx
2008-04-25 18:02 . 2008-04-25 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\gtk-2.0
2008-04-25 17:58 . 2008-04-25 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\...\.gimp-2.4
2008-04-25 17:04 . 2008-04-25 17:04 <DIR> d-------- C:\Dokumente und Einstellungen\...\Anwendungsdaten\vlc
2008-04-24 23:40 . 2008-04-24 23:40 0 --a------ C:\WINDOWS\nsreg.dat
4 Datei(en) . 1,574,937 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 21:00 --------- d-----w C:\Programme\Unlocker
2008-05-11 18:09 --------- d-----w C:\Dokumente und Einstellungen\...\Anwendungsdaten\ZipGenius
2008-05-11 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-02 23:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-26 15:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-24 20:35 --------- d-----w C:\Programme\ZipGenius 6
2008-04-24 20:12 --------- d-----w C:\Programme\VideoLAN
2008-04-24 20:08 --------- d-----w C:\Programme\LingoPad
2008-04-24 20:08 --------- d-----w C:\Dokumente und Einstellungen\...\Anwendungsdaten\Lingo4u
2008-04-24 20:07 --------- d-----w C:\Programme\phase5
2008-04-24 20:05 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-04-24 20:04 --------- d-----w C:\Programme\Java
2008-04-24 20:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-24 20:01 --------- d-----w C:\Programme\Google
2008-04-24 20:00 --------- d-----w C:\Programme\GIMP-2.0
2008-04-24 19:59 --------- d-----w C:\Programme\Lavalys
2008-04-24 19:57 --------- d-----w C:\Programme\M-Audio
2008-04-24 19:57 --------- d-----w C:\Dokumente und Einstellungen\...\Anwendungsdaten\InstallShield
2008-04-24 19:48 --------- d-----w C:\Programme\Avira
2008-04-24 19:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-24 19:42 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-04-24 19:42 --------- d-----w C:\Programme\Hama
2008-04-24 19:36 --------- d-----w C:\Programme\AMD
2008-04-24 19:32 --------- d-----w C:\Programme\VIA
2008-04-24 19:06 --------- d-----w C:\Programme\microsoft frontpage
2008-04-24 19:04 --------- d-----w C:\Programme\Online-Dienste
2008-04-24 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF47FCFB-AA32-4ECC-9F32-C99E30385AF3}]
C:\WINDOWS\fvowketqsoq.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Programme\VIA\RAID\raid_tool.exe" [2005-04-27 21:22 589824]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-24 21:51 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"M-Audio Taskbar Icon"="C:\WINDOWS\System32\DeltaIITray.exe" [2007-12-03 11:21 236040]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]
"DeltaIITaskbarApp"="C:\WINDOWS\system32\DeltaIITray.exe" [2007-12-03 11:21 236040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R3 DELTAII;Service for M-Audio Delta Driver (WDM);C:\WINDOWS\system32\DRIVERS\deltaII.sys [2007-12-03 11:21]
R3 hcwPVRP2;Hauppauge WinTV PVR PCI II (Encoder/Decoder);C:\WINDOWS\system32\DRIVERS\hcwPVRP2.sys [2005-09-15 00:01]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-05-12 00:32:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
.
**************************************************************************


...ist mein System nun wieder ok?
-Der Taskmanager funktioniert auf jeden Fall wieder! ^^
Und die Symbole sind auch wieder da.
Da war ja wirklich einiges!

Lieben Gruß
Seitenanfang Seitenende
12.05.2008, 08:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Illchen

No action taken.- Vergiss nicht, mit Malwarebytes alles gefundene löschen zu lassen !

------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF47FCFB-AA32-4ECC-9F32-C99E30385AF3}]

File::
C:\WINDOWS\system32\HNmlknnn.ini
C:\WINDOWS\fvowketqsoq.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

PC neustarten
-----------

2.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"


3.
RVAXO entfernen:
Öffne die Datei RVAXO auf deinem Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

4.
sdfix
http://virus-protect.org/artikel/tools/sdfix.html

RunThis.bat doppelt klicken
reinschreiben: 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen



bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

poste hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: