Trojanische Pferde TR/Vundo.IE und TR/Agent 28.288

#0
11.07.2008, 18:41
...neu hier

Beiträge: 2
#1 Hallo zusammen,

ich bin absolut entnervt, die obigen beiden trojanichen Pferde (o werden sie jedenfalls von Avira erkannt und benannt) terrorisieren mich seit drei Tagen. Avira erkennt sie und verweigert den Zugriff, aber warum kann das Programm die Dateien nicht auf dauer löschen? Anfangs kam die Virenfund Meldung nur gelegentlich beim Öffnen des Browsers, mittlerweile kommen die Fundmeldungen alle 2 Sekunden, so dass ich die ganze Zeit nur am Wegklicken der Meldungen bin. Das nervt total.

Ich habe schon SmitFraudfix, Hitman Pro und den CCleaner drüberlaufen lassen, aber nix hat geholfen. Anbei sende ich die Logfiles von Hijack This, den Rapport von SmitFraudfix und die Logfiles von Datfind.bat. Ich hoffe das hilft euch weiter, so dass ihr mir weiter helfen könnt ;)

Bitte dringend um Hilfe!!!

Vielen Dank im Voraus!

Tomas

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:30, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\Spyware Doctor\pctsTray.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\MDM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {4341339d-9195-44ef-b037-a7932ffa357b} - C:\WINDOWS\system32\opugds.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: {218c4dba-d6c8-71d9-c1d4-15dff901605c} - {c506109f-fd51-4d1c-9d17-8c6dabd4c812} - C:\WINDOWS\system32\sofwfe.dll
O2 - BHO: (no name) - {D95A625D-A0FC-4729-A626-B68642946481} - C:\WINDOWS\system32\byXOgHYQ.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: (no name) - {FB1191D8-C3FD-43F0-AAB0-4678C3129761} - C:\WINDOWS\system32\pmnlJaax.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [59fc229c] rundll32.exe "C:\WINDOWS\system32\ehndctcq.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programme\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://prosieben.king.de/ctl/kingcomie.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4A55EDF-AB89-4BE0-84EF-8BCBDC4FF25D}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: byXOgHYQ - C:\WINDOWS\SYSTEM32\byXOgHYQ.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: GMX Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\Shared\hpqwmi.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 13131 bytes


___________________________________________________________________

SmitFraudFix v2.329

Scan done at 12:43:47,89, 11.07.2008
Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

Description: AVM FRITZ!web DSL PPP - Paketplaner-Miniport
DNS Server Search Order: 192.168.122.252
DNS Server Search Order: 192.168.122.253

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D4A55EDF-AB89-4BE0-84EF-8BCBDC4FF25D}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E334DDB4-60D5-481F-8842-767F4A6D2C47}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D4A55EDF-AB89-4BE0-84EF-8BCBDC4FF25D}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E334DDB4-60D5-481F-8842-767F4A6D2C47}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D4A55EDF-AB89-4BE0-84EF-8BCBDC4FF25D}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E334DDB4-60D5-481F-8842-767F4A6D2C47}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


__________________________________________________________________________________


Hier noch die Logfiles von Datfind für dieses Jahr:



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 59FC-2233

Verzeichnis von c:\

10.07.2008 13:02 0 dirdat.txt
08.07.2008 14:15 527.880.192 hiberfil.sys
08.07.2008 14:15 792.723.456 pagefile.sys
08.07.2008 14:13 2.705 rapport.txt
24.06.2008 10:28 244 sqmnoopt10.sqm
18.04.2008 14:12 268 sqmdata09.sqm
18.04.2008 14:12 244 sqmnoopt09.sqm
29.03.2008 01:59 268 sqmdata08.sqm
29.03.2008 01:59 244 sqmnoopt08.sqm
24.03.2008 20:58 268 sqmdata07.sqm
24.03.2008 20:58 244 sqmnoopt07.sqm
18.02.2008 22:03 232 sqmdata06.sqm
18.02.2008 22:03 244 sqmnoopt06.sqm
13.02.2008 11:55 15.398 drwtsn32.log
27.01.2008 16:00 232 sqmdata05.sqm
27.01.2008 16:00 244 sqmnoopt05.sqm


Verzeichnis von C:\WINDOWS\system32

10.07.2008 13:01 157.427 xaaJlnmp.ini
10.07.2008 13:00 156.860 xaaJlnmp.ini2
10.07.2008 02:22 1.750.842 nvkleebg.ini
10.07.2008 02:21 89.088 gbeelkvn.dll
10.07.2008 02:19 112.256 opugds.dll
10.07.2008 02:19 112.256 wedaqndv.dll
10.07.2008 02:19 0 52dfe6e2-.txt
10.07.2008 02:18 1.747.155 rckhqfeg.ini
09.07.2008 00:17 143 mcrh.tmp
08.07.2008 21:57 88.576 gefqhkcr.dll
08.07.2008 21:54 318.208 pmnlJaax.dll

08.07.2008 14:16 1.158 wpa.dbl
08.07.2008 14:15 25.344 lsass.log
08.07.2008 14:11 3.034 tmp.reg
08.07.2008 14:11 0 tmp.txt
08.07.2008 12:41 417.822 perfh009.dat
08.07.2008 12:41 67.156 perfc009.dat
08.07.2008 12:41 435.656 perfh007.dat
08.07.2008 12:41 81.230 perfc007.dat
08.07.2008 12:40 1.013.212 PerfStringBackup.INI
08.07.2008 12:30 28.288 gebApnNF.dll
08.07.2008 12:30 28.288 byXOgHYQ.dll

18.06.2008 21:42 148.400 FNTCACHE.DAT
11.06.2008 02:04 200.704 ssldivx.dll


Verzeichnis von C:\WINDOWS

08.07.2008 23:28 48 cookies.ini
08.07.2008 14:15 157 wiadebug.log
08.07.2008 14:15 50 wiaservc.log
08.07.2008 14:15 2.048 bootstat.dat
08.07.2008 14:09 32.478 SchedLgU.Txt
08.07.2008 11:01 94.208 gpefaowr.exe
08.07.2008 11:01 163.840 egxk.exe

07.07.2008 01:48 116 NeroDigital.ini
06.07.2008 13:27 122 mdm.ini
16.05.2008 12:17 151 PhotoSnapViewer.INI
14.05.2008 08:58 544 _delis32.ini
07.04.2008 20:33 1.125 winamp.ini
07.04.2008 14:08 253.116 PDFCreator_Toolbar_Uninstaller_2078.exe
25.03.2008 00:29 1.289 win.ini
20.02.2008 21:41 620 eReg.dat
11.02.2008 23:37 212 recover.reg


Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.07.2008 12:52 12.800 GLM75.tmp
10.07.2008 12:52 165.376 GLC74.tmp
10.07.2008 12:52 71.680 GLB73.tmp
10.07.2008 12:46 71.680 GLB64.tmp
10.07.2008 12:35 512 ~DF4257.tmp
10.07.2008 12:35 65.536 ~DF41A5.tmp
10.07.2008 12:34 512 ~DF96A1.tmp
10.07.2008 12:34 65.536 ~DF968D.tmp
10.07.2008 02:24 1.980 5B.tmp
08.07.2008 23:42 1.980 49.tmp
08.07.2008 14:15 0 JETC5D0.tmp
24.10.2007 17:07 28.672 5C.tmp
24.10.2007 17:07 28.672 4A.tmp

09.01.2007 15:09 1.636.376 ycomp_setup.exe
06.11.2006 17:33 46.272 unyt_ping.exe
23.05.2005 16:00 165.376 GLB1A2B.EXE
16 Datei(en) 2.362.960 Bytes
0 Verzeichnis(se), 3.883.212.800 Bytes frei
Dieser Beitrag wurde am 11.07.2008 um 18:45 Uhr von Tang editiert.
Seitenanfang Seitenende
11.07.2008, 20:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,Tang

««
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {4341339d-9195-44ef-b037-a7932ffa357b} - C:\WINDOWS\system32\opugds.dll

O2 - BHO: {218c4dba-d6c8-71d9-c1d4-15dff901605c} - {c506109f-fd51-4d1c-9d17-8c6dabd4c812} - C:\WINDOWS\system32\sofwfe.dll

O2 - BHO: (no name) - {D95A625D-A0FC-4729-A626-B68642946481} - C:\WINDOWS\system32\byXOgHYQ.dll

O2 - BHO: (no name) - {FB1191D8-C3FD-43F0-AAB0-4678C3129761} - C:\WINDOWS\system32\pmnlJaax.dll

O4 - HKLM\..\Run: [59fc229c] rundll32.exe "C:\WINDOWS\system32\ehndctcq.dll",b

O20 - Winlogon Notify: byXOgHYQ - C:\WINDOWS\SYSTEM32\byXOgHYQ.dll
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\5B.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\49.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\5C.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\4A.tmp
C:\WINDOWS\system32\byXOgHYQ.dll
C:\WINDOWS\system32\gebApnNF.dll
C:\WINDOWS\system32\sofwfe.dll
C:\WINDOWS\system32\xaaJlnmp.ini
C:\WINDOWS\system32\xaaJlnmp.ini2
C:\WINDOWS\system32\nvkleebg.ini
C:\WINDOWS\system32\gbeelkvn.dll
C:\WINDOWS\system32\opugds.dll
C:\WINDOWS\system32\wedaqndv.dll
C:\WINDOWS\system32\52dfe6e2-.txt
C:\WINDOWS\system32\rckhqfeg.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\gefqhkcr.dll
C:\WINDOWS\system32\pmnlJaax.dll
C:\WINDOWS\gpefaowr.exe
C:\WINDOWS\egxk.exe
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

---------------------------------------------------------------------------

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

»»
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste hier den Report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2008, 00:33
...neu hier

Themenstarter

Beiträge: 2
#3 Hi Sabina,

oh mann, vielen vielen Dank, der Spuk scheint vorbei zu sein, hoffe ich jedenfalls... Ich poste hier noch einmal die beiden Berichte. Ich danke dir für die schnelle und tolle Hilfe, Spende ist unterwegs ;)

Beste Grüße

Tang

Danach gelöscht und:


Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

00:31:16 12.07.2008
mbam-log-7-12-2008 (00-31-16).txt

Scan Art: Schnell Scan
Objekte gescannt: 40748
Scan Dauer: 6 minute(s), 10 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{42e2b43f-3954-48ec-b549-5c05cb7dbd0a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07895222-50a5-4598-acb1-806ef2a9babc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ehndctcq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qctcdnhe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jupgragc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.

«
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: