Monder 332801 Trojaner

#1 Hi ich habe seit 2 Tagen den Trojaner Monder 332801. avira antivir, spybot u. ad-aware können nur einige tracker-cookies bereinigen bzw. löschen. Die Systemleistung ist beeinträchtigt, popups erscheinen, der Monder Tr hat sich vermehrt u. er scheint zu guter Letzt Festplattenspeicher zu fressen.Es sind mehrere dll Dateien im system32 Ordner befallen...hier hab ich die Hijack thislogfile: Bitte helft mir! es ist furchtbar...was soll ich als nächstes tun?

Logfile of HijackThis v1.99.1
Scan saved at 17:30:28, on 13.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\avmwlanstick\WLanGUI.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {3084E233-B90D-457F-9C7A-F11DBBE5C71F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {70CBFCAE-4CB6-4AC9-BA0B-32ED5E2E64F3} - C:\WINDOWS\system32\opnmnkLd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {7678941b-d168-0fcb-61f4-23bb786f715c} - {c517f687-bb32-4f16-bcf0-861db1498767} - C:\WINDOWS\system32\ttgjlkgc.dll
O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\khfDwwxV.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Winamp Media Player] winamp.exe
O4 - HKLM\..\Run: [94b57ed6] rundll32.exe "C:\WINDOWS\system32\dccuajao.dll",b
O4 - HKLM\..\Run: [BM97864d4a] Rundll32.exe "C:\WINDOWS\system32\ucotpkyj.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: FRITZ!WLAN.lnk = C:\Programme\avmwlanstick\WLanGUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207673825390
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: khfDwwxV - khfDwwxV.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

#2 Hallo missi01

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {3084E233-B90D-457F-9C7A-F11DBBE5C71F} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {70CBFCAE-4CB6-4AC9-BA0B-32ED5E2E64F3} - C:\WINDOWS\system32\opnmnkLd.dll (file missing)

O2 - BHO: {7678941b-d168-0fcb-61f4-23bb786f715c} - {c517f687-bb32-4f16-bcf0-861db1498767} - C:\WINDOWS\system32\ttgjlkgc.dll

O2 - BHO: (no name) - {C5B8495C-20BC-493C-8613-E4F6E5790B88} - C:\WINDOWS\system32\khfDwwxV.dll (file missing)

O4 - HKLM\..\Run: [Winamp Media Player] winamp.exe

O4 - HKLM\..\Run: [94b57ed6] rundll32.exe "C:\WINDOWS\system32\dccuajao.dll",b

O4 - HKLM\..\Run: [BM97864d4a] Rundll32.exe "C:\WINDOWS\system32\ucotpkyj.dll",s

O20 - Winlogon Notify: khfDwwxV - khfDwwxV.dll (file missing)

«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hier ist die RVAXO-results.log oder muss i dir die RVAXO-Vfind.log posten?

---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\BM97864d4a.xml
C:\WINDOWS\BM97864d4a.txt
C:\WINDOWS\system32\dLknmnpo.ini2
C:\WINDOWS\pskt.ini
C:\WINDOWS\wininit.ini
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\taskmgr.com

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


Denn kommt die logdatei von malewarebytes

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 854

01:41:56 14.06.2008
mbam-log-6-14-2008 (01-41-53).txt

Scan Art: Schnell Scan
Objekte gescannt: 36678
Scan Dauer: 3 minute(s), 33 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM97864d4a (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\dccuajao.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\oajauccd.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xuqaktuv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vutkaqux.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ucotpkyj.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\qoMdDuTL.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yayvULda.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqRJdEx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJDTLCr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wvUmlkIC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fccbCuvv.dll (Trojan.Vundo) -> No action taken.


und die combofix log

ComboFix 08-06-12.2 - Administrator 2008-06-14 2:09:01.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.900 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-14 bis 2008-06-14 ))))))))))))))))))))))))))))))
.

2008-06-14 01:15 . 2008-06-14 01:15 0 --a------ C:\WINDOWS\BM97864d4a.xml
2008-06-13 23:21 . 2008-06-14 01:47 <DIR> d-------- C:\Programme\RVAXO
2008-06-13 23:17 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner
2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft
2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-12 22:14 . 2008-06-12 22:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000
2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour
2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5
2008-06-13 16:43 --------- d-----w C:\Programme\eMule
2008-06-13 13:58 --------- d-----w C:\Programme\Winamp
2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express
2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN
2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 11:58 --------- d-----w C:\Programme\Avira
2008-05-04 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox
2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick
2008-04-23 15:24 --------- d-----w C:\Programme\Azureus
2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen
2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10
2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron
2008-04-18 22:14 --------- d-----w C:\Programme\HP
2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP
2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064]
"HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 14:02 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
FRITZ!WLAN.lnk - C:\Programme\avmwlanstick\WLanGUI.exe [2008-04-08 17:35:59 1454080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\Christopher\\Half-Life\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64980:TCP"= 64980:TCP:azureusport
"47765:TCP"= 47765:TCP:esel
"22663:UDP"= 22663:UDP:esel2

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GDS_PC17.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-14 02:10:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-14 2:11:49
ComboFix-quarantined-files.txt 2008-06-14 00:11:37

6 Verzeichnis(se), 592,621,568 Bytes frei
10 Verzeichnis(se), 587,935,744 Bytes frei

136 --- E O F --- 2008-06-13 12:40:39




So i hoffe i hab allet richtig jemacht...der monder virus ist doch recht unangenehm wenn ihm ausgeliefert ist. i hab heute 8 Proggs installiert um ihn zu jagen. Avira AV hab i gleich am ersten Tag des Befalls deaktiviert, so wie dit reagiert hat, bräuchte man n sekundäres Anti-Avira Prog. naja, ersteinmal vielen dank für deine schnelle hilfe...mal sehen ob mein system morgen noch läuft. ciao

#4 Hallo missi01

ich hoffe, du hast nach Abkopieren des Scanreports (Malwarebytes) ...alles entfernen lassen
(Trojan.Vundo) -> No action taken.

---------------

1.
dein USB-Stick ist verseucht:
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

2.
lade von dieser Seite:
http://virus-protect.org/artikel/spyware/vbs-remove.html
antivbs.zip - laden - entzippen + anwenden




3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}]

File::
C:\WINDOWS\BM97864d4a.xml

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

4.
Dr.Web Cureit
http://virus-protect.org/cureit.html

scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus
__________
MfG Sabina

rund um die PC-Sicherheit

#5 So, bevor i meine externe festplatte gescannt habe, habe i noch einmal den gesamten prozess wiederholt u. jetzt setzt dir nochmal die logs rein. merkwürdig war aber, dass als i mit dem dr.web prog im abgesicherten u. im normalen modus gescannt hatte, es infizierte dateien in archiven von combofix u rvaxo anzeigte. wegen diesem welchem SPR/Tool.Hardoff.A...da i die progs eh net mehr brauch, hab i rvaxo gelöscht.

Dann schau dir bitte das hier nocheinmal an u. sag bescheid. Ich glaube aber das der Monder gröbstens entfernt wurde.

die RVAXO-results.log als erstes

---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\BM97864d4a.xml
C:\WINDOWS\BM97864d4a.txt

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


die logdatei von malewarebytes

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 854

16:56:42 14.06.2008
mbam-log-6-14-2008 (16-56-42).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 99927
Scan Dauer: 20 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)




und die combofix log

ComboFix 08-06-12.2 - Administrator 2008-06-14 16:57:52.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.875 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-14 bis 2008-06-14 ))))))))))))))))))))))))))))))
.

2008-06-14 15:52 . 2008-06-14 15:53 <DIR> d-------- C:\RVAXO
2008-06-14 15:37 . 2008-06-14 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-13 23:21 . 2008-06-14 01:47 <DIR> d-------- C:\Programme\RVAXO
2008-06-13 23:17 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner
2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft
2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000
2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour
2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5
2008-06-13 16:43 --------- d-----w C:\Programme\eMule
2008-06-13 13:58 --------- d-----w C:\Programme\Winamp
2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express
2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN
2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 11:58 --------- d-----w C:\Programme\Avira
2008-05-04 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox
2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick
2008-04-23 15:24 --------- d-----w C:\Programme\Azureus
2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen
2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10
2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron
2008-04-18 22:14 --------- d-----w C:\Programme\HP
2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP
2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-14_ 2.11.27.48 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-13 23:58:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-14 13:52:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064]
"HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 14:02 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
FRITZ!WLAN.lnk - C:\Programme\avmwlanstick\WLanGUI.exe [2008-04-08 17:35:59 1454080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\Christopher\\Half-Life\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64980:TCP"= 64980:TCP:azureusport
"47765:TCP"= 47765:TCP:esel
"22663:UDP"= 22663:UDP:esel2

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GDS_PC17.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-14 16:59:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-14 17:00:33
ComboFix-quarantined-files.txt 2008-06-14 15:00:21
ComboFix2.txt 2008-06-14 00:11:50

7 Verzeichnis(se), 476,311,552 Bytes frei
11 Verzeichnis(se), 467,415,040 Bytes frei

142 --- E O F --- 2008-06-13 12:40:39

und nochmal vielen vielen dank

#6 nein, du hast das script von combofix nicht korrekt angewendet, denn das hier solle raus sein:

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dbcdd6-2e50-11dd-8c7a-001c4af2653c}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe GDS_PC17.vbs

also noch mal das script erstellen, dann die txt-Datei auf das Symbol von Combofix ziehen. und Combofix neu anwenden.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ah i hab aus reflex die .txt mit der linken maustaste auf die combofix.exe gezogen u. hinzu kommt, dass mein rechner nicht auf die combo console klar kommt. während des vorgangs ist er hängen gebliegen. naja, passiert. dieser registry eintrag hat sich auch verändert, jetzt lautet er:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}]
\Shell\AutoRun\command - E:\pushinst.exe


ComboFix 08-06-12.2 - Administrator 2008-06-15 3:13:04.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.923 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\sicherheit\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\BM97864d4a.xml
.
/wow section - STAGE 41
Der Befehl "L”sche" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.


((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2008-06-15 02:52 . 2008-06-15 03:03 <DIR> d-------- C:\Programme\ComboFix
2008-06-14 23:39 . 2008-06-14 23:39 <DIR> d-------- C:\Programme\Avira
2008-06-14 21:12 . 2008-06-14 21:12 <DIR> d--h----- C:\WINDOWS\PIF
2008-06-14 17:24 . 2008-06-14 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-06-14 15:37 . 2008-06-14 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-13 23:17 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-13 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-06-13 23:04 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-13 23:04 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 22:22 . 2008-06-13 22:22 <DIR> d-------- C:\Programme\CCleaner
2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\23990098.$$$
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-13 19:06 . 2008-06-13 19:06 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-13 18:58 . 2005-10-10 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-13 18:58 . 2005-10-10 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-13 18:58 . 2008-06-13 19:04 50 --a------ C:\WINDOWS\Lic.xxx
2008-06-13 16:03 . 2008-06-13 16:03 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-13 15:57 . 2008-06-13 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-06-13 14:28 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 14:28 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 23:11 . 2008-06-13 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-12 22:15 . 2008-06-12 22:15 <DIR> d-------- C:\Programme\Lavasoft
2008-06-12 22:15 . 2008-06-12 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-06 14:05 . 2008-06-06 14:05 <DIR> d--hs---- C:\found.000
2008-06-04 22:10 . 2008-06-04 22:10 <DIR> d-------- C:\Programme\bonjour
2008-06-04 21:50 . 2008-06-04 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-14 21:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-13 18:35 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 5
2008-06-13 16:43 --------- d-----w C:\Programme\eMule
2008-06-13 13:58 --------- d-----w C:\Programme\Winamp
2008-06-08 02:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2008-06-07 13:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Image Zone Express
2008-06-04 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 15:22 --------- d-----w C:\Programme\VideoLAN
2008-05-08 14:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 11:41 --------- d-----w C:\Programme\MUSICMATCH Jukebox
2008-05-04 11:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-26 20:46 --------- d-----w C:\Programme\avmwlanstick
2008-04-23 15:24 --------- d-----w C:\Programme\Azureus
2008-04-23 15:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-22 21:22 --------- d-----w C:\Programme\SereneScreen
2008-04-21 14:28 --------- d---a-w C:\Programme\Macromedia Freehand 10
2008-04-19 19:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\funkitron
2008-04-18 22:14 --------- d-----w C:\Programme\HP
2008-04-18 22:14 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-04-18 21:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-04-18 17:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HP
2008-04-18 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-04-18 16:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((( snapshot@2008-06-14_ 2.11.27.48 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-13 23:58:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-15 01:16:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-08-09 11:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-01-21 16:12:52 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
- 2007-07-18 12:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
- 2008-05-04 12:02:31 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-03-04 11:28:49 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2008-04-23 17:32:42 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2007-11-08 17:03:26 21,248 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"SecurDisc"="C:\Programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480]
"InCD"="C:\Programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064]
"HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\Christopher\\Half-Life\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64980:TCP"= 64980:TCP:azureusport
"47765:TCP"= 47765:TCP:esel
"22663:UDP"= 22663:UDP:esel2

R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2005-10-10 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c68e06e-1384-11dd-8d1c-001c4af2653c}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 03:16:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\avmwlanstick\WLanGUI.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 3:21:15 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-06-15 01:20:56

6 Verzeichnis(se), 791,740,416 Bytes frei
11 Verzeichnis(se), 784,105,472 Bytes frei

175 --- E O F --- 2008-06-13 12:40:39

wichtig ist doch auch, dass der monder virus ersteinmal nicht mehr vorhanden ist oder wie? ach ja, als i meine externe festplatte mit den empfohlenen progs (u. den anderen) gescannt hatte, hatten diese keine infizierten dateien gefunden...

#8 Hallo,

«
Gehe in die Registry

Start - Ausführen - regedit
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

««
RVAXO entfernen:
Öffne die Datei RVAXO auf deinem Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

-------------------------------------------------------------------

E:\pushinst.exe ist sauber.
der andere Reg-Eintrag ist raus, trotz Fehlermeldung
nun sollte wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit