Home » Viren, Trojaner & Malware Forum » Vundo Gen Nicht Wegmachbar! » Themenansicht

Vundo Gen Nicht Wegmachbar!
#0
26.06.2008, 10:01
SineX
...neu hier

Beiträge: 8
#1

Zitat

ComboFix 08-06-20.4 - Katy 2008-06-26 9:30:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.51 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Katy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\GhNVvyay.ini
C:\WINDOWS\system32\GhNVvyay.ini2
C:\WINDOWS\system32\KRBcdccf.ini
C:\WINDOWS\system32\KRBcdccf.ini2
C:\WINDOWS\system32\rqfvdxjn.ini
C:\WINDOWS\system32\xvcpyxsa.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-26 bis 2008-06-26 ))))))))))))))))))))))))))))))
.

2008-06-26 04:15 . 2008-06-26 04:15 93,248 --a------ C:\WINDOWS\system32\njxdvfqr.VIR
2008-06-26 04:14 . 2008-06-26 04:14 279,552 --a------ C:\WINDOWS\system32\yayvVNhG.VIR000
2008-06-26 03:55 . 2008-06-26 03:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-26 03:52 . 2008-06-26 03:52 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-26 03:52 . 2008-06-26 03:52 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-26 03:48 . 2008-06-26 03:48 <DIR> d-------- C:\Programme\Trend Micro
2008-06-26 02:43 . 2008-06-26 09:44 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-26 02:42 . 2008-06-26 03:33 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-26 02:42 . 2008-06-26 02:42 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\PC Tools
2008-06-26 02:42 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-26 02:42 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-26 02:42 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-26 02:42 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-26 02:41 . 2008-06-26 03:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 02:37 . 2008-06-26 02:37 <DIR> d-------- C:\Programme\Avira
2008-06-26 02:37 . 2008-06-26 02:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-26 01:54 . 2008-06-26 01:54 <DIR> d-------- C:\Temp
2008-06-25 13:27 . 2000-03-07 00:00 473,600 --a------ C:\WINDOWS\system32\Harmony.dll
2008-06-25 13:27 . 2000-03-07 00:00 237,568 --a------ C:\WINDOWS\system32\Unlha32.dll
2008-06-25 13:27 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe
2008-06-25 13:26 . 2008-06-25 13:26 <DIR> d-------- C:\Programme\ASCII
2008-06-25 13:20 . 2008-06-25 13:20 <DIR> d-------- C:\Programme\RPG Maker Fonts Deinstall
2008-06-25 13:20 . 2008-06-25 13:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Enterbrain
2008-06-24 14:11 . 2008-06-24 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\CamTrack
2008-06-24 14:11 . 2008-06-24 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-06-24 12:30 . 2008-06-26 01:54 <DIR> d-------- C:\Programme\ICQLite
2008-06-24 12:30 . 2008-06-24 12:32 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\ICQLite
2008-06-24 11:59 . 2008-06-24 11:59 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\WINDOWS\MAXXCOM DD-1043 USB Camera
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\MAXXCOM DD-1043 USB Camera
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\DigitalPeers
2008-06-24 11:39 . 2005-12-18 13:33 44,416 --a------ C:\WINDOWS\system32\drivers\dptrackerd.sys
2008-06-24 11:38 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snp325
2008-06-24 11:38 . 2008-06-24 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\InstallShield
2008-06-24 11:38 . 2006-10-10 15:49 270,336 --a------ C:\WINDOWS\tsnp325.exe
2008-06-24 11:38 . 2006-04-12 12:11 147,456 --a------ C:\WINDOWS\system32\rsnp325.dll
2008-06-24 11:38 . 2007-03-14 11:21 61,440 --a------ C:\WINDOWS\system32\vsnpx32.dll
2008-06-24 11:38 . 2007-02-12 14:50 20,480 --a------ C:\WINDOWS\FixCamera.exe
2008-06-23 19:20 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-23 19:15 . 2008-06-23 19:15 <DIR> d-------- C:\Programme\PC Drivers HeadQuarters
2008-06-23 19:15 . 2008-06-23 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
2008-06-23 15:56 . 2007-04-20 18:51 10,253,056 --a------ C:\WINDOWS\system32\drivers\snp325.sys
2008-06-23 15:56 . 2007-03-14 11:21 61,440 --a------ C:\WINDOWS\system32\vsnp325.dll
2008-06-23 15:54 . 2006-10-10 14:11 827,392 --a------ C:\WINDOWS\vsnp325.exe
2008-06-23 15:54 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnp325.dll
2008-06-23 15:54 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snp325.ini
2008-06-23 15:54 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snp325.src
2008-06-23 14:24 . 2008-06-23 14:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Katy\UserData
2008-06-22 22:45 . 2008-06-23 23:21 <DIR> d-------- C:\WINDOWS\.jagex_cache_32
2008-06-22 22:44 . 2008-06-22 22:44 <DIR> d-------- C:\WINDOWS\Sun
2008-06-22 22:42 . 2008-06-23 19:20 <DIR> d-------- C:\Programme\Java
2008-06-22 22:42 . 2008-06-22 22:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-06-22 22:20 . 2008-06-22 22:20 <DIR> d-------- C:\WINDOWS\CatRoot
2008-06-22 22:20 . 2008-06-22 22:20 <DIR> d-------- C:\Programme\Vimicro
2008-06-22 22:20 . 2000-10-31 12:00 307,200 --a------ C:\WINDOWS\vidcap32.Exe
2008-06-22 22:20 . 2004-08-31 13:26 233,539 --a------ C:\WINDOWS\system32\VM31bPrp.Ax
2008-06-22 22:20 . 2002-08-22 16:34 147,456 --a------ C:\WINDOWS\VMCap.exe
2008-06-22 22:20 . 2005-07-19 13:17 94,459 --a------ C:\WINDOWS\system32\drivers\usbVM31b.sys
2008-06-22 22:20 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe
2008-06-22 22:20 . 2003-05-15 17:17 61,440 --a------ C:\WINDOWS\system32\VM31bSTI.dll
2008-06-22 22:20 . 2005-02-28 17:53 53,248 --a------ C:\WINDOWS\Vm_sti.exe
2008-06-22 22:20 . 2002-08-22 17:02 53,248 --a------ C:\WINDOWS\StillCap.exe
2008-06-22 21:53 . 2004-08-04 00:58 16,384 --a------ C:\WINDOWS\system32\ipsink.ax
2008-06-22 21:53 . 2004-08-04 00:58 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-06-22 21:53 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2008-06-22 21:53 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2008-06-22 21:53 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2008-06-22 21:53 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2008-06-22 21:53 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2008-06-22 21:53 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-06-22 21:52 . 2008-06-22 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\Webcammax
2008-06-22 21:19 . 2008-06-22 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Contacts
2008-06-22 21:18 . 2008-06-22 21:18 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-06-22 21:17 . 2008-06-22 21:17 <DIR> d-------- C:\Programme\Windows Live
2008-06-22 21:16 . 2008-06-22 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\ICQ
2008-06-22 21:15 . 2008-06-22 21:18 <DIR> d-------- C:\Programme\ICQ6
2008-06-22 21:09 . 2008-06-22 21:09 3,660 --a------ C:\WINDOWS\aebwlan.cfg
2008-06-22 20:58 . 2006-03-15 10:35 17,664 -ra------ C:\WINDOWS\system32\drivers\AWISp50.sys
2008-06-18 12:25 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-16 19:00 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-24 09:42 1 ----a-w C:\Programme\MAXXCOM DD-1043 USB CameraBigtop.inf
2008-06-24 09:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-22 20:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-14 13:06 3,076 ----a-w C:\WINDOWS\system32\drivers\Uninst.isu
2008-06-14 13:03 --------- d-----w C:\Programme\Intel
2008-06-14 12:55 --------- d-----w C:\Programme\microsoft frontpage
2008-06-14 12:52 --------- d-----w C:\Programme\Online-Dienste
2008-06-14 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40F25008-4BAF-4018-AF9C-13C4C11EF81B}]
C:\WINDOWS\system32\yayvVNhG.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-09-11 11:48 1130496 C:\WINDOWS\Mixer.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-12 14:50 20480]
"tsnp325"="C:\WINDOWS\tsnp325.exe" [2006-10-10 15:49 270336]
"dptracker"="C:\Programme\DigitalPeers\CamTrack\dptracker.exe" [2005-12-18 13:32 331776]
"snp325"="C:\WINDOWS\vsnp325.exe" [2006-10-10 14:11 827392]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"f89477e7"="C:\WINDOWS\system32\njxdvfqr.dll" [ ]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [2007-04-20 18:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DVR/AutoRun.exe start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c02bae-412b-11dd-9b83-0010dc1183c8}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DVR/AutoRun.exe start.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 09:41:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-26 9:48:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-26 07:47:53

7 Verzeichnis(se), 44,465,496,064 Bytes frei
9 Verzeichnis(se), 44,497,227,776 Bytes frei

174

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F894-7748

Verzeichnis von C:\WINDOWS\system32

26.06.2008 04:15 93.248 njxdvfqr.VIR
26.06.2008 04:15 0 clkcnt.txt
26.06.2008 04:14 279.552 yayvVNhG.VIR000
26.06.2008 02:45 392.296 perfh009.dat
26.06.2008 02:45 58.596 perfc009.dat
26.06.2008 02:45 405.118 perfh007.dat
26.06.2008 02:45 70.580 perfc007.dat
26.06.2008 02:45 938.224 PerfStringBackup.INI
25.06.2008 13:33 91.888 FNTCACHE.DAT
23.06.2008 19:20 6.641 jupdate-1.6.0_05-b13.log
22.06.2008 22:43 10.384 jupdate-1.5.0_12-b04.log
22.06.2008 20:54 2.206 wpa.dbl
14.06.2008 15:46 0 h323log.txt
14.06.2008 15:00 261 $winnt$.inf
14.06.2008 14:55 2.951 CONFIG.NT
14.06.2008 14:55 16.832 amcompat.tlb
14.06.2008 14:55 23.392 nscompat.tlb
14.06.2008 14:53 488 WindowsLogon.manifest
14.06.2008 14:53 488 logonui.exe.manifest
14.06.2008 14:53 749 cdplayer.exe.manifest
14.06.2008 14:53 749 wuaucpl.cpl.manifest
14.06.2008 14:53 749 ncpa.cpl.manifest
14.06.2008 14:53 749 sapi.cpl.manifest
14.06.2008 14:53 749 nwc.cpl.manifest
14.06.2008 14:49 21.740 emptyregdb.dat

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:49:26, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\Programme\DigitalPeers\CamTrack\dptracker.exe
C:\WINDOWS\vsnp325.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B3102264-D09D-4322-B625-503FBF18DD7E} - C:\WINDOWS\system32\fcccCRij.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [dptracker] C:\Programme\DigitalPeers\CamTrack\dptracker.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [f89477e7] rundll32.exe "C:\WINDOWS\system32\asxypcvx.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: fcccCRij - C:\WINDOWS\SYSTEM32\fcccCRij.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4517 bytes
Avira Anti Vir sagt "Vundo.Gen."gefunden
Seitenanfang Seitenende
26.06.2008, 10:42
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: (no name) - {B3102264-D09D-4322-B625-503FBF18DD7E} - C:\WINDOWS\system32\fcccCRij.dll
O4 - HKLM\..\Run: [f89477e7] rundll32.exe "C:\WINDOWS\system32\asxypcvx.dll",b
O20 - Winlogon Notify: fcccCRij - C:\WINDOWS\SYSTEM32\fcccCRij.dll
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\njxdvfqr.VIR
C:\WINDOWS\system32\yayvVNhG.VIR000
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\fcccCRij.dll
C:\WINDOWS\system32\asxypcvx.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40F25008-4BAF-4018-AF9C-13C4C11EF81B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"f89477e7"="-

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
26.06.2008, 16:06
SineX
...neu hier

Themenstarter

Beiträge: 8
#3

Zitat

ComboFix 08-06-20.4 - Katy 2008-06-26 16:00:15.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.125 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Katy\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Katy\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\asxypcvx.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\fcccCRij.dll
C:\WINDOWS\system32\njxdvfqr.VIR
C:\WINDOWS\system32\yayvVNhG.VIR000
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\njxdvfqr.VIR
C:\WINDOWS\system32\yayvVNhG.VIR000

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-26 bis 2008-06-26 ))))))))))))))))))))))))))))))
.

2008-06-26 03:55 . 2008-06-26 03:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-26 03:52 . 2008-06-26 03:52 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-26 03:52 . 2008-06-26 03:52 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-26 03:48 . 2008-06-26 03:48 <DIR> d-------- C:\Programme\Trend Micro
2008-06-26 02:43 . 2008-06-26 15:50 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-26 02:42 . 2008-06-26 15:50 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-26 02:41 . 2008-06-26 03:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-26 02:37 . 2008-06-26 02:37 <DIR> d-------- C:\Programme\Avira
2008-06-26 02:37 . 2008-06-26 02:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-26 01:54 . 2008-06-26 01:54 <DIR> d-------- C:\Temp
2008-06-25 13:27 . 2000-03-07 00:00 473,600 --a------ C:\WINDOWS\system32\Harmony.dll
2008-06-25 13:27 . 2000-03-07 00:00 237,568 --a------ C:\WINDOWS\system32\Unlha32.dll
2008-06-25 13:27 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe
2008-06-25 13:26 . 2008-06-25 13:26 <DIR> d-------- C:\Programme\ASCII
2008-06-25 13:20 . 2008-06-25 13:20 <DIR> d-------- C:\Programme\RPG Maker Fonts Deinstall
2008-06-25 13:20 . 2008-06-25 13:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Enterbrain
2008-06-24 14:11 . 2008-06-24 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\CamTrack
2008-06-24 14:11 . 2008-06-24 14:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-06-24 12:30 . 2008-06-26 01:54 <DIR> d-------- C:\Programme\ICQLite
2008-06-24 12:30 . 2008-06-24 12:32 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\ICQLite
2008-06-24 11:59 . 2008-06-24 11:59 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\WINDOWS\MAXXCOM DD-1043 USB Camera
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\MAXXCOM DD-1043 USB Camera
2008-06-24 11:39 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\DigitalPeers
2008-06-24 11:39 . 2005-12-18 13:33 44,416 --a------ C:\WINDOWS\system32\drivers\dptrackerd.sys
2008-06-24 11:38 . 2008-06-24 11:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snp325
2008-06-24 11:38 . 2008-06-24 11:38 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\InstallShield
2008-06-24 11:38 . 2006-10-10 15:49 270,336 --a------ C:\WINDOWS\tsnp325.exe
2008-06-24 11:38 . 2006-04-12 12:11 147,456 --a------ C:\WINDOWS\system32\rsnp325.dll
2008-06-24 11:38 . 2007-03-14 11:21 61,440 --a------ C:\WINDOWS\system32\vsnpx32.dll
2008-06-24 11:38 . 2007-02-12 14:50 20,480 --a------ C:\WINDOWS\FixCamera.exe
2008-06-23 19:20 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-23 19:15 . 2008-06-23 19:15 <DIR> d-------- C:\Programme\PC Drivers HeadQuarters
2008-06-23 19:15 . 2008-06-23 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
2008-06-23 15:56 . 2007-04-20 18:51 10,253,056 --a------ C:\WINDOWS\system32\drivers\snp325.sys
2008-06-23 15:56 . 2007-03-14 11:21 61,440 --a------ C:\WINDOWS\system32\vsnp325.dll
2008-06-23 15:54 . 2006-10-10 14:11 827,392 --a------ C:\WINDOWS\vsnp325.exe
2008-06-23 15:54 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnp325.dll
2008-06-23 15:54 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snp325.ini
2008-06-23 15:54 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snp325.src
2008-06-23 14:24 . 2008-06-23 14:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Katy\UserData
2008-06-22 22:45 . 2008-06-23 23:21 <DIR> d-------- C:\WINDOWS\.jagex_cache_32
2008-06-22 22:44 . 2008-06-22 22:44 <DIR> d-------- C:\WINDOWS\Sun
2008-06-22 22:42 . 2008-06-23 19:20 <DIR> d-------- C:\Programme\Java
2008-06-22 22:42 . 2008-06-22 22:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-06-22 21:53 . 2004-08-04 00:58 16,384 --a------ C:\WINDOWS\system32\ipsink.ax
2008-06-22 21:53 . 2004-08-04 00:58 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-06-22 21:53 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2008-06-22 21:53 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2008-06-22 21:53 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2008-06-22 21:53 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2008-06-22 21:53 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2008-06-22 21:53 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-06-22 21:52 . 2008-06-22 21:53 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\Webcammax
2008-06-22 21:19 . 2008-06-22 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Contacts
2008-06-22 21:18 . 2008-06-22 21:18 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-06-22 21:17 . 2008-06-22 21:17 <DIR> d-------- C:\Programme\Windows Live
2008-06-22 21:16 . 2008-06-22 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\Katy\Anwendungsdaten\ICQ
2008-06-22 21:15 . 2008-06-22 21:18 <DIR> d-------- C:\Programme\ICQ6
2008-06-22 21:09 . 2008-06-22 21:09 3,660 --a------ C:\WINDOWS\aebwlan.cfg
2008-06-22 20:58 . 2006-03-15 10:35 17,664 -ra------ C:\WINDOWS\system32\drivers\AWISp50.sys
2008-06-18 12:25 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-06-16 19:00 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 07:51 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-24 09:42 1 ----a-w C:\Programme\MAXXCOM DD-1043 USB CameraBigtop.inf
2008-06-24 09:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-14 13:06 3,076 ----a-w C:\WINDOWS\system32\drivers\Uninst.isu
2008-06-14 13:03 --------- d-----w C:\Programme\Intel
2008-06-14 12:55 --------- d-----w C:\Programme\microsoft frontpage
2008-06-14 12:52 --------- d-----w C:\Programme\Online-Dienste
2008-06-14 12:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((( snapshot@2008-06-26_ 9.46.56.48 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-26 07:39:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-26 13:45:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [2007-04-20 18:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DVR/AutoRun.exe start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c02bae-412b-11dd-9b83-0010dc1183c8}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DVR/AutoRun.exe start.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 16:02:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-26 16:04:30
ComboFix-quarantined-files.txt 2008-06-26 14:04:18
ComboFix2.txt 2008-06-26 07:48:17

7 Verzeichnis(se), 44,525,559,808 Bytes frei
8 Verzeichnis(se), 44,522,209,280 Bytes frei

142
Danke schonmal fürdie schnelle Hilfe ;)
Seitenanfang Seitenende
26.06.2008, 16:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

nimm den Avira (Guard) wieder in den Autostart.
dann scanne noch mit Malwarebytes. und lasse alles gefundene entfernen
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2008, 16:36
SineX
...neu hier

Themenstarter

Beiträge: 8
#5 Hab den Malwarebytes durchlaufen lassen,und die dateien gelöscht!
Danach hab ich Avira nochmal durchlaufen lassen....

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\fcccCRij.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!


Und nun?;)
Dieser Beitrag wurde am 26.06.2008 um 17:42 Uhr von SineX editiert.
Seitenanfang Seitenende
27.06.2008, 00:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\WINDOWS\system32\fcccCRij.dll

Klicke auf den Roten MoveIt!

Text im rechten Fenster / Results
Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen"

--------------------------------

wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2008, 13:50
SineX
...neu hier

Themenstarter

Beiträge: 8
#7 Hat sich geklärt ;)trotzdem danke...
C:\WINDOWS\system32\fcccCRij.dll
war in Superantispy drin...als ich das runtergeschmissen haben -> gelöscht habe....war es weg ....dankeschön ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1