geBstuUO.dll - Ist der Trojaner TR/Vundo.BC

#1 Hallo Zusammen!

Also im Forum von Chip.de hat man mir gesagt man könne mir hier vielleicht helfen. Die Sache ist die: Seit ein paar Tagen gibt mein Antivirusprogramm (Avast Antivir) bei jedem Start von einem Programm (auch beim Systemstart bei jedem Programm das startet) folgende Meldung: C:\WINDOWS\system32\geBstuUO.dll - Ist das Trojanische Pferd TR/Vundo.BC

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:02, on 22.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\DOKUME~1\Michi\LOKALE~1\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Google\GOOGLE~3\SketchUp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {522E0112-EDD9-413D-A99E-C311A54B6676} - C:\WINDOWS\system32\geBstuUO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211386347093
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBstuUO - C:\WINDOWS\SYSTEM32\geBstuUO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\WINDOWS\system32\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 10584 bytes

VirusTotal:

Datei geBstuUO.dll empfangen 2008.05.22 12:56:22 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 TR/Vundo.BC
Authentium 5.1.0.4 2008.05.21 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 Generic10.ZHX
BitDefender 7.2 2008.05.22 Trojan.Vundo.EMZ
CAT-QuickHeal 9.50 2008.05.21 -
ClamAV 0.92.1 2008.05.22 -
DrWeb 4.44.0.09170 2008.05.22 -
eSafe 7.0.15.0 2008.05.21 -
eTrust-Vet 31.4.5808 2008.05.21 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 Vundo.gen179
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.22 -
Ikarus T3.1.1.26.0 2008.05.22 Trojan.Win32.Vundo.FCD
Kaspersky 7.0.0.125 2008.05.22 -
McAfee 5300 2008.05.21 -
Microsoft 1.3520 2008.05.22 Trojan:Win32/Vundo.FCD
NOD32v2 3120 2008.05.22 -
Norman 5.80.02 2008.05.21 -
Panda 9.0.0.4 2008.05.22 Suspicious file
Prevx1 V2 2008.05.22 Cloaked Malware
Rising 20.45.32.00 2008.05.22 Trojan.Win32.Undef.gpy
Sophos 4.29.0 2008.05.22 Mal/Generic-A
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.22 -
TheHacker 6.2.92.316 2008.05.22 -
VBA32 3.12.6.6 2008.05.21 -
VirusBuster 4.3.26:9 2008.05.21 -
Webwasher-Gateway 6.6.2 2008.05.22 Trojan.Vundo.BC
weitere Informationen
File size: 58880 bytes
MD5...: 56f73e8e32bf5ffdffa36e788e31556e
SHA1..: cb80bafd420e2f5e1971f71b5caa6cd040118336
SHA256: 4c22005f8cf481afbe80d80505a218fc6ae5f461b26bc9432bec3ddb1f50b328
SHA512: 54ea67db7c2725513db31d5391d6e289cacc12b4b4920089d31486b0dc3e2a43<br>7a9e76363e338d0e6c15e01fc5b7d7659e68e7efc19ae28c6fbf907f3556e2c8
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10001028<br>timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x876b 0x8800 7.18 d71662fb48cba857a8b8c63be6e4daca<br>.rdata 0xa000 0x4441 0x4600 7.77 33db65d30fe10db41684b97bdd358b81<br>.data 0xf000 0x112f 0x1400 7.47 0774f17d5f9771558fafaa1423587145<br><br>( 2 imports ) <br>&gt; user32.dll: DrawIcon, DrawCaption, DestroyWindow, DestroyCursor, CreatePopupMenu, CreateMenu, CreateMDIWindowA, CreateIconFromResource, CreateDialogParamA, CreateDialogIndirectParamA, CreateDesktopW, CreateCursor, CharNextA, CharLowerA, BeginPaint, ActivateKeyboardLayout<br>&gt; kernel32.dll: GetDateFormatA, lstrlenA, lstrcpynA, lstrcmpiA, lstrcmpA, lstrcatA, VirtualAlloc, TlsSetValue, Sleep, SetEndOfFile, RtlUnwind, RaiseException, LoadLibraryA, LeaveCriticalSection, GetVersionExA, GetVersion, GetPrivateProfileStringA, ExitThread, FlushFileBuffers, FreeResource, GetFileSize, GetLocalTime<br><br>( 0 exports ) <br>
Prevx info: h*tp://info.prevx.com/aboutprogramtext.asp?PX5=781DB5A200B43E46E6D400FF5F96550037E96341






Kann mir bitte irgendwer helfen diesen Virus zu neutraliesieren?

Vielen Dank im Voraus
mfg, Michi

#2 Hallo MichiBeck6

wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html

wende combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die schnelle Antwort Sabina

Hier der Windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

Soft 22.05.2008 ModemLog_HDAUDIO 21 01:3.842
22.05.2008 wiadebug.log 21 00:159
22.05.2008 0.log 21 00:0
22.05.2008 bootstat.dat 21 00:2.048
22.05.2008 SchedLgU.Txt 13 08:28.126
22.05.2008 wiaservc.log 13 08:50
22.05.2008 bthservsdp.dat 13 08:12
22.05.2008 WindowsUpdate.log 12 50:2.057.300
22.05.2008 ntbtlog.txt 12 46:639.198
21.05.2008 setupapi.log 20 56:76.535
21.05.2008 mozver.dat 20 55:2.089
20.05.2008 win.ini 12 36:635
20.05.2008 AKDeInstall.exe 12 30:80.384
19.05.2008 msgsocm.log 21 21:1.095
19.05.2008 netfxocm.log 21 21:4.450
19.05.2008 tsoc.log 21 21:11.010
19.05.2008 ocmsn.log 21 21:1.227
19.05.2008 tabletoc.log 21 21:622
19.05.2008 comsetup.log 21 21:6.279
19.05.2008 imsins.log 21 21:4.696
19.05.2008 plusoc.log 21 21:4.654
19.05.2008 iis6.log 21 21:51.784
19.05.2008 ocgen.log 21 21:17.302
19.05.2008 msmqinst.log 21 21:11.408
19.05.2008 wmsetup.log 16 26:1.313
15.05.2008 imsins.BAK 03 00:1.374
15.05.2008 KB950749.log 03 00:15.952


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

22.05.2008 nvapps.xml 21 02:51.048
22.05.2008 eRLog.ini 21 02:343
22.05.2008 vsconfig.xml 21 01:358.382
21.05.2008 wpa.dbl 18 17:1.158
19.05.2008 PerfStringBackup.INI 21 21:984.680
19.05.2008 perfh007.dat 21 21:423.648
19.05.2008 perfh009.dat 21 21:408.004
19.05.2008 perfc007.dat 21 21:78.128
19.05.2008 perfc009.dat 21 21:64.534
19.05.2008 TuneUpDefragService.exe 21 12:354.560
19.05.2008 geBstuUO.dll 21 11:58.880
12.05.2008 jupdate-1.6.0_05-b13.log 10 39:6.583
10.05.2008 FNTCACHE.DAT 03 18:1.572.960
10.05.2008 TZLog.log 03 04:138.648
09.05.2008 MRT.exe 23 35:16.863.864
09.05.2008 zllictbl.dat 02 18:4.212
08.05.2008 LuResult.txt 17 39:100
08.05.2008 results.txt 17 37:348
08.05.2008 lvcoinst.log 17 12:3.251
08.05.2008 Installer.log 17 09:51
08.05.2008 $winnt$.inf 17 01:37.585
03.05.2008 ExFileVw.dll 21 48:851.968
24.04.2008 sevMail32.ocx 11 09:134.144
21.04.2008 sevXPCtl.ocx 13 58:231.424
17.04.2008 sevEin20.ocx 15 14:289.280
17.04.2008 sevCmd3.ocx 13 00:139.264
04.04.2008 uxtuneup.dll 14 51:28.416
02.04.2008 vsutil_loc0407.dll 21 08:54.672
02.04.2008 imsinstall_loc0407.dll 21 08:21.904
02.04.2008 imslsp_install_loc0407.dll 21 08:17.808
02.04.2008 vsdatant.sys 21 08:394.952
02.04.2008 zpeng24.dll 21 07:1.086.952
02.04.2008 zlcomm.dll 21 07:83.432
02.04.2008 zlcommdb.dll 21 07:71.144
02.04.2008 vswmi.dll 21 07:46.568
02.04.2008 vsutil.dll 21 07:472.552
02.04.2008 vsxml.dll 21 07:99.816
02.04.2008 vsregexp.dll 21 07:71.144
02.04.2008 vsmonapi.dll 21 07:103.912
02.04.2008 vspubapi.dll 21 07:275.944
02.04.2008 vsinit.dll 21 07:157.160
02.04.2008 vsdata.dll 21 07:83.432
02.04.2008 libeay32_0.9.6l.dll 21 07:796.048
25.03.2008 msjint40.dll 06 51:187.168
25.03.2008 mswstr10.dll 06 51:621.344
25.03.2008 mswdat10.dll 06 50:838.432
25.03.2008 msxbde40.dll 06 50:355.104



Und Combofix:

ComboFix 08-05-21.3 - Michi 2008-05-22 23:37:25.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1277 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-22 bis 2008-05-22 ))))))))))))))))))))))))))))))
.

2008-05-22 03:03 . 2008-05-22 03:03 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-21 21:48 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-21 21:48 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-21 20:55 . 2008-05-21 20:55 <DIR> d-------- C:\Programme\Panda Security
2008-05-21 18:11 . 2008-05-21 18:11 <DIR> d---s---- C:\Dokumente und Einstellungen\Michi\UserData
2008-05-21 16:21 . 2008-05-21 16:21 <DIR> d-------- C:\Programme\Trend Micro
2008-05-20 12:33 . 2008-05-20 12:33 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-20 12:30 . 2008-05-20 12:30 <DIR> d-------- C:\Programme\Z-DBackup
2008-05-20 12:30 . 2008-05-20 12:30 80,384 --------- C:\WINDOWS\AKDeInstall.exe
2008-05-19 22:53 . 2008-05-19 22:53 <DIR> d-------- C:\Programme\VisualTaskTips
2008-05-19 21:30 . 2008-05-19 21:30 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-19 21:30 . 2008-05-19 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-19 21:12 . 2008-05-19 21:12 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-19 21:12 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-19 21:11 . 2008-05-19 21:12 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-19 21:11 . 2008-05-19 21:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-19 21:11 . 2008-05-19 21:11 58,880 --a------ C:\WINDOWS\system32\geBstuUO.dll
2008-05-17 15:42 . 2008-05-17 15:42 <DIR> d-------- C:\Programme\TGTSoft
2008-05-16 11:44 . 2008-05-16 11:44 <DIR> d-------- C:\WINDOWS\StartHtmico
2008-05-16 11:44 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-05-16 11:43 . 2005-08-26 07:00 140,288 --------- C:\WINDOWS\system32\CNMLM79.DLL
2008-05-16 11:43 . 2005-03-08 20:17 90,112 --------- C:\WINDOWS\system32\CNMCP79.exe
2008-05-16 11:43 . 2005-03-08 20:17 90,112 -ra------ C:\WINDOWS\system32\cnm38.tmp
2008-05-16 11:43 . 2005-08-26 07:00 8,704 --a------ C:\WINDOWS\system32\CNMVS79.DLL
2008-05-16 11:42 . 2008-05-16 11:42 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-05-16 11:41 . 2008-05-16 11:41 <DIR> d-------- C:\Programme\Canon
2008-05-16 11:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-16 11:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-15 00:27 . 2008-05-15 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\dvdcss
2008-05-13 10:27 . 2008-05-13 10:28 <DIR> d-------- C:\WINDOWS\Sun
2008-05-13 10:27 . 2008-05-13 10:27 <DIR> d-------- C:\Programme\DivX
2008-05-13 10:26 . 2008-05-21 20:55 2,089 --a------ C:\WINDOWS\mozver.dat
2008-05-12 23:14 . 2008-05-12 23:14 <DIR> d-------- C:\Programme\uTorrent
2008-05-12 23:14 . 2008-05-12 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\uTorrent
2008-05-12 10:39 . 2008-05-12 10:39 <DIR> d-------- C:\Programme\Java
2008-05-12 10:39 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-12 10:38 . 2008-05-12 10:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-11 16:53 . 2008-05-11 16:53 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\dwhelper
2008-05-11 04:43 . 2008-05-11 04:43 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\vlc
2008-05-11 04:42 . 2008-05-11 04:42 <DIR> d-------- C:\Programme\VideoLAN
2008-05-10 03:06 . 2008-05-10 03:06 <DIR> d-------- C:\Programme\MSXML 6.0
2008-05-10 02:48 . 2008-05-10 02:48 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\TuneUp Software
2008-05-10 02:48 . 2008-05-10 02:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-05-09 16:18 . 2008-05-09 16:18 <DIR> d-------- C:\Programme\Avira
2008-05-09 16:18 . 2008-05-09 16:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-09 02:40 . 2007-11-30 08:45 644,400 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-05-09 02:18 . 2008-05-09 02:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-09 02:17 . 2008-05-22 23:43 161,824 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-09 02:17 . 2008-05-22 23:43 2,972 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-09 02:05 . 2008-05-09 02:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-05-09 01:45 . 2008-05-09 01:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Control Panels
2008-05-09 01:43 . 2008-05-09 01:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-05-09 01:38 . 2007-02-20 16:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
2008-05-09 01:38 . 2007-02-20 16:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2008-05-09 01:34 . 2008-05-09 01:34 <DIR> d-------- C:\Programme\Bonjour
2008-05-09 01:31 . 2008-05-09 01:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-08 21:47 . 2008-05-08 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 21:42 . 2008-05-08 21:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-05-08 21:41 . 2008-05-08 21:41 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-05-08 21:41 . 2008-05-08 21:41 <DIR> d-------- C:\Programme\Zone Labs
2008-05-08 21:41 . 2008-04-02 21:07 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-05-08 21:41 . 2008-05-22 23:44 358,382 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-05-08 21:26 . 2008-05-08 21:26 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-05-08 20:56 . 2008-05-08 20:56 400 --a------ C:\WINDOWS\ODBC.INI
2008-05-08 20:55 . 2008-05-08 20:55 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-08 20:55 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-08 20:54 . 2008-05-08 20:54 <DIR> d-------- C:\Programme\Microsoft.NET
2008-05-08 20:52 . 2008-05-08 20:52 <DIR> dr-h----- C:\MSOCache
2008-05-08 20:25 . 2008-05-08 20:25 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2008-05-08 20:25 . 2008-05-08 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Thunderbird
2008-05-08 20:18 . 2008-05-08 20:18 <DIR> d-------- C:\Programme\AutoCAD Architecture 2008
2008-05-08 20:18 . 2008-05-08 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Autodesk
2008-05-08 20:17 . 2008-05-08 20:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-05-08 20:17 . 2008-05-08 20:17 <DIR> d-------- C:\Programme\Autodesk
2008-05-08 20:17 . 2008-05-08 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-05-08 20:11 . 2004-08-10 20:00 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-08 20:08 . 2008-05-08 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\skypePM
2008-05-08 20:08 . 2008-05-08 20:08 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-05-08 20:04 . 2008-05-08 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Skype
2008-05-08 17:51 . 2008-05-08 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Talkback
2008-05-08 17:51 . 2008-05-08 17:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-08 17:50 . 2008-05-08 17:50 <DIR> d-------- C:\Programme\Skype
2008-05-08 17:50 . 2008-05-08 17:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-08 17:50 . 2008-05-08 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-08 17:47 . 2008-05-08 17:47 <DIR> d-------- C:\Programme\Google
2008-05-08 17:47 . 2008-05-08 17:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-08 17:36 . 2008-05-08 17:36 <DIR> d--hs---- C:\Recycled
2008-05-08 17:22 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-05-08 17:22 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-05-08 17:12 . 2008-05-22 21:02 343 --a------ C:\WINDOWS\system32\eRLog.ini
2008-05-08 17:10 . 2008-05-08 17:10 <DIR> d-------- C:\Programme\Yahoo!
2008-05-08 17:10 . 2008-05-08 17:10 88 --a------ C:\WINDOWS\GridV.UNI
2008-05-08 17:09 . 2008-05-08 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-05-08 17:09 . 2008-05-08 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Acer
2008-05-08 17:09 . 2006-06-23 10:39 245,824 -ra------ C:\WINDOWS\system32\InstExec.exe
2008-05-08 17:09 . 2006-06-23 10:40 245,824 -ra------ C:\WINDOWS\Instexec.exe
2008-05-08 17:09 . 2006-06-23 10:39 719 -ra------ C:\WINDOWS\system32\InstExec.ini
2008-05-08 17:08 . 2008-05-08 17:08 <DIR> d-------- C:\Programme\Acer
2008-05-08 17:07 . 2005-09-26 16:40 258,048 --a------ C:\WINDOWS\system32\Uninstall_eRecovery.exe
2008-05-08 17:06 . 2008-05-08 17:06 <DIR> d-------- C:\Programme\WinPCap
2008-05-08 17:06 . 2006-01-23 12:41 78,208 --a------ C:\WINDOWS\system32\drivers\epm-shd.sys
2008-05-08 17:06 . 2006-01-23 12:41 4,096 --a------ C:\WINDOWS\system32\drivers\epm-psd.sys
2008-05-08 17:05 . 2008-05-08 17:05 <DIR> d-------- C:\WINDOWS\system32\DRVSTORE
2008-05-08 17:05 . 2008-05-08 17:05 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Intel
2008-05-08 17:04 . 2008-05-08 17:04 <DIR> d-------- C:\Programme\Launch Manager
2008-05-08 17:04 . 2004-12-08 14:10 16,896 --a------ C:\WINDOWS\system32\drivers\DKbFltr.SYS
2008-05-08 17:04 . 2004-12-09 12:04 5,120 --a------ C:\WINDOWS\system32\FILTRCOI.DLL
2008-05-08 17:04 . 2008-05-08 17:04 79 --a------ C:\WINDOWS\LManager.UNI
2008-05-08 17:03 . 2006-01-20 15:56 225,350 --a------ C:\WINDOWS\system32\Epm-Po.dll
2008-05-08 17:03 . 2006-01-20 15:56 53,248 --a------ C:\WINDOWS\system32\acpimof.dll
2008-05-08 17:03 . 2006-07-19 21:58 51,244 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Vorlagen
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Startmen�
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Netzwerkumgebung
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen
2008-05-08 17:02 . 2008-05-08 17:03 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Favoriten
2008-05-08 17:02 . 2008-05-08 17:03 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Eigene Dateien
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Druckumgebung
2008-05-08 17:02 . 2006-08-30 21:41 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Acer
2008-05-08 17:02 . 2006-08-30 20:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten
2008-05-08 17:02 . 2008-05-08 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\Michi
2008-05-08 17:02 . 2006-07-20 23:21 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-05-08 17:01 . 2006-08-30 21:41 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Acer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 19:48 851,968 ----a-w C:\WINDOWS\system32\ExFileVw.dll
2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{522E0112-EDD9-413D-A99E-C311A54B6676}]
2008-05-19 21:11 58880 --a------ C:\WINDOWS\system32\geBstuUO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"VisualTaskTips"="C:\Programme\VisualTaskTips\VisualTaskTips.exe" [2008-03-09 11:12 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 12:17 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 12:13 77824]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04 59392]
"LaunchApp"="Alaunch" []
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 15:02 53248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946]
"ADMTray.exe"="C:\Acer\Empowering Technology\admtray.exe" [2005-10-24 16:45 2462208]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 15:50 69632]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 20:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 20:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 20:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 20:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-19 21:58 7581696]
"nwiz"="nwiz.exe" [2006-07-19 21:58 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-19 21:58 86016]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 19:29 352256]
"Acer ePower Management"="C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 12:54 3080704]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-07-20 22:15 593920]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 18:00 397312]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-09-23 13:08 61440]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{522E0112-EDD9-413D-A99E-C311A54B6676}"= C:\WINDOWS\system32\geBstuUO.dll [2008-05-19 21:11 58880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBstuUO]
geBstuUO.dll 2008-05-19 21:11 58880 C:\WINDOWS\system32\geBstuUO.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"LogitechCameraAssistant"=C:\Programme\Acer\OrbiCam\CameraAssistant.exe
"LogitechCameraService(E)"=C:\WINDOWS\system32\ElkCtrl.exe /automation
"ntiMUI"=C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE
"igfxpers"=C:\WINDOWS\system32\igfxpers.exe
"Easy-PrintToolBox"=C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
"LogitechVideo[inspector]"=C:\Programme\Acer\OrbiCam\InstallHelper.exe /inspect

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2005-10-15 18:20]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2006-01-23 12:41]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2006-01-23 12:41]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R2 NMSAccessU;NMSAccessU;C:\WINDOWS\system32\NMSAccessU.exe [2007-10-12 09:34]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-10 20:00]
R3 AVerM115S;AVerM115S service;C:\WINDOWS\system32\DRIVERS\AVerM115S.sys [2006-06-27 23:05]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-06-19 12:20]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-06-23 10:40]
R3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:34]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-19 21:12]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - INT15.SYS
.
Inhalt des "geplante Tasks" Ordners
"2008-05-22 21:45:52 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 23:46:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\geBstuUO.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\VisualTaskTips\VttHooks.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LOGITECH\LVMVFM\LVPRCSRV.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\ACER\EMPOWERING TECHNOLOGY\ADMSERV.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\WINDOWS\EHOME\EHRECVR.EXE
C:\WINDOWS\EHOME\EHSCHED.EXE
C:\PROGRAMME\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LIGHTSCRIBE\LSSRVC.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\DOKUME~1\Michi\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-22 23:51:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-22 21:51:06

13 Verzeichnis(se), 79,702,458,368 Bytes frei
16 Verzeichnis(se), 80,691,625,984 Bytes frei

294 --- E O F --- 2008-05-22 01:06:29

#4 Hallo,

««
deaktiviere kurzzeitig:
Spybot - Search & Destroy\TeaTimer.exe

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{522E0112-EDD9-413D-A99E-C311A54B6676}]
hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{522E0112-EDD9-413D-A99E-C311A54B6676}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBstuUO]

File::
C:\WINDOWS\system32\geBstuUO.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

---------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
scanne mit malwarebytes, lasse alles entfernen, was gefunden wird.
http://virus-protect.org/artikel/tools/malwarebytes.html

Dann sollte das Problem behoben sein
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hey, danke! Du bist die Beste! Der Virus meldet sich nicht mehr beim öffnen irgendwelcher Dateien. Ich bin wirklich heilfroh, dass ich nicht neu aufsetzen musste.

Habe aber noch ein paar fragen, falls du mir die beantworten könntest!? Bitte!

1) Malwarebytes hat nichts gefunden bzw. hat sich beim durchlaufen dreimal der Avast Antivir gemeldet. Hätte ich bei den drei funden ignorieren drücken sollen, oder löschen? Oder hätte ich den Avast während des durchlaufs des Malwarebytes ausschalten sollen?

2) Welche Programme würdest du mir empfehlen zur Vorbeugung solcher Dinge?

3) Soll ich den Thread jez dann wieder löschen, oder kann ich den einfach hier drinstehn lassen?



Vielen, vielen Dank nochmal

lg, Michi

#6

Zitat

hat sich beim durchlaufen dreimal der Avast Antivir gemeldet

welche Funde ?
scanne noch mal mit Malwarebytes, klicke dann, wenn Avast sich meldet immer auf löschen, wahrscheilich wird die Combofix-Datei reklamiert...........

««
der Thread bleibt bestehen...für andere Betroffene...

«
Programm zur Vorbeugung gibt es nicht, du musst nur aufpassen , auf welchen seiten du surfst...und was du anklickst.
eventuell Sandboxie.
http://virus-protect.org/artikel/tools/sandboxie.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hey!

Wollt mich nur nochmal bedanken und sagen, dass jez alles wieder passt.