Virus Alert und gesperrte Registry

#0
12.07.2008, 12:02
Member

Beiträge: 14
#1 Hi,

kann von den Mod's mal einer drüberschauen. Ist das alles ok so?
Braucht ihr sonst noch was?
Scheint alles wieder zu funktionieren.

Danke und Gruß
Andy

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 2

11:39:58 12.07.2008
mbam-log-7-12-2008 (11-39-58).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 87084
Scan Dauer: 43 minute(s), 23 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 5
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 17
Infizierte Verzeichnisse: 0
Infizierte Dateien: 20

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\vnujdsxo.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\awwddroy.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\byXpQkjh.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\pmnNGabX.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\wbxdpgfevkl.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8779ccb1-0c0a-4ac6-83f8-cc9979a3371e} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8779ccb1-0c0a-4ac6-83f8-cc9979a3371e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{684bfe7f-f5b2-4ab3-a95e-eb5036a2d286} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{684bfe7f-f5b2-4ab3-a95e-eb5036a2d286} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnngabx (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{07895222-50a5-4598-acb1-806ef2a9babc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9437c997-89e6-4b84-a745-befd3a910ff5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{3885c07e-5f60-4cb3-bcea-ebccc3135201} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{af4ebf01-2871-49e4-bf25-8f0564359c31} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af4ebf01-2871-49e4-bf25-8f0564359c31} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.bwbf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2b2219ab (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{684bfe7f-f5b2-4ab3-a95e-eb5036a2d286} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxpqkjh -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxpqkjh -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0016403-52083) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\byXpQkjh.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hjkQpXyb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hjkQpXyb.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vnujdsxo.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\oxsdjunv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kylitlxu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uxltilyk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awwddroy.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\yorddwwa.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnNGabX.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hgGAPfcA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\fdxbameg.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fsrpknov.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\sqvgnrpx.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\wbxdpgfevkl.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Andy\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.


ComboFix 08-07-11.1 - Andy 2008-07-12 11:45:37.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.207 [GMT 2:00]
ausgeführt von:: E:\Virus\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\winsupdater
C:\WINDOWS\egxk.exe
C:\WINDOWS\system32\hjkQpXyb.ini
C:\WINDOWS\system32\hjkQpXyb.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 10:49 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 00:11 . 2008-07-11 00:11 116,352 --a------ C:\WINDOWS\system32\zjudns.dll
2008-07-11 00:11 . 2008-07-11 00:11 116,352 --a------ C:\WINDOWS\system32\kwvpcxjx.dll
2008-07-11 00:05 . 2001-08-18 10:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-10 19:04 . 2008-07-10 19:04 <DIR> d-------- C:\Programme\a-squared Free
2008-07-10 19:03 . 2008-07-10 19:03 <DIR> d-------- C:\Programme\RegCleaner
2008-07-09 19:05 . 2008-07-09 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-09 19:04 . 2008-07-09 19:03 112,256 --a------ C:\WINDOWS\system32\wqfvuj.dll
2008-07-09 19:03 . 2008-07-09 19:03 112,256 --a------ C:\WINDOWS\system32\txgarqrg.dll
2008-07-09 18:42 . 2008-07-09 18:42 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 14:03 . 2008-07-09 14:03 <DIR> d--hs---- C:\FOUND.000
2008-07-09 10:43 . 2008-07-09 18:36 998 ---hs---- C:\WINDOWS\system32\usnsvuek.ini
2008-07-08 19:07 . 2008-07-09 08:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 19:07 . 2008-07-08 19:07 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d65517cf-4838-456a-a781-af76f46f7128}]
2008-07-11 00:11 116352 --a------ C:\WINDOWS\system32\zjudns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 22:07 634880]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2004-10-29 18:26 36972]
"AdaptecDirectCD"="C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-01-23 12:09 675840]
"DAEMON Tools-1033"="C:\Programme\Daemon-Tools\daemon.exe" [2004-08-22 17:05 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 10:24 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [2006-12-12 18:08 3577512]
"S3hotkey"="S3hotkey.exe" [2001-09-12 21:27 40960 C:\WINDOWS\system32\S3hotkey.exe]
"S3TRAY2"="S3tray2.exe" [2002-02-20 16:38 69632 C:\WINDOWS\system32\S3tray2.exe]
"SbUsb AudCtrl"="sbusbdll.dll" [2003-03-12 03:48 64000 C:\WINDOWS\system32\sbusbdll.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de Firefox\\web_de_Update.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=

R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-04-16 07:04]
S3 sbusb;Sound Blaster USB Audio Driver;C:\WINDOWS\system32\DRIVERS\sbusb.sys [2003-03-25 07:27]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-12-28 14:40]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 11:51:58
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAMME\A-SQUARED FREE\A2SERVICE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE
C:\PROGRAMME\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 11:54:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-12 09:54:22

15 Verzeichnis(se), 18,844,680,192 Bytes frei
19 Verzeichnis(se), 18,964,676,608 Bytes frei

101 --- E O F --- 2008-03-31 18:23:53


einen HJT-Logfile reiche ich mal schnell noch nach.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:58, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Daemon-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: {8217f64f-67fa-187a-a654-8384fc71556d} - {d65517cf-4838-456a-a781-af76f46f7128} - C:\WINDOWS\system32\zjudns.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5655 bytes
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Dieser Beitrag wurde am 12.07.2008 um 12:10 Uhr von Ziehler editiert.
Seitenanfang Seitenende
12.07.2008, 12:30
Member

Beiträge: 325
#2 Nur bezogen auf Dei HJT-File entdecke ich nichts mehr, aber benutze mal die Suchen-Funktion auf dem PC wann die Datei "zjudns.dll" erstellt wurde und welche Ordner und Programme zur selben Zeit installiert wurden=evtl. dazugehören. S3 Video-Driver -ist der von Dir installiert??
Dieser Beitrag wurde am 12.07.2008 um 13:28 Uhr von Provisitor editiert.
Seitenanfang Seitenende
12.07.2008, 13:26
Moderator

Beiträge: 5694
#3 Hallo Ziehler

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d65517cf-4838-456a-a781-af76f46f7128}]

File::
C:\WINDOWS\system32\zjudns.dll
C:\WINDOWS\system32\kwvpcxjx.dll
C:\WINDOWS\system32\wqfvuj.dll
C:\WINDOWS\system32\txgarqrg.dll
C:\WINDOWS\system32\usnsvuek.ini
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

>>
poste das neue Log von Combofix

>>
DU must dein Java noch updaten:
Installation überprüfen
http://www.java.com/de/download/installed.jsp


Gruss Swiss
Dieser Beitrag wurde am 12.07.2008 um 13:41 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
12.07.2008, 13:47
Member

Beiträge: 325
#4 ...und was ist mit der "beep.sys" -ist die noch (!) original und gehört die auch da hin ? Bei mir steht die in zwei Unterordner'n von System32 !
Seitenanfang Seitenende
12.07.2008, 14:50
Member

Themenstarter

Beiträge: 14
#5 Hi Swiss,

hierkommt der neue Log.

ComboFix 08-07-11.1 - Andy 2008-07-12 14:45:10.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.227 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andy\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 10:49 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 00:11 . 2008-07-11 00:11 116,352 --a------ C:\WINDOWS\system32\zjudns.dll
2008-07-11 00:11 . 2008-07-11 00:11 116,352 --a------ C:\WINDOWS\system32\kwvpcxjx.dll
2008-07-11 00:05 . 2001-08-18 10:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-10 19:04 . 2008-07-10 19:04 <DIR> d-------- C:\Programme\a-squared Free
2008-07-10 19:03 . 2008-07-10 19:03 <DIR> d-------- C:\Programme\RegCleaner
2008-07-09 19:05 . 2008-07-09 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-09 19:04 . 2008-07-09 19:03 112,256 --a------ C:\WINDOWS\system32\wqfvuj.dll
2008-07-09 19:03 . 2008-07-09 19:03 112,256 --a------ C:\WINDOWS\system32\txgarqrg.dll
2008-07-09 18:42 . 2008-07-09 18:42 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 14:03 . 2008-07-09 14:03 <DIR> d--hs---- C:\FOUND.000
2008-07-09 10:43 . 2008-07-09 18:36 998 ---hs---- C:\WINDOWS\system32\usnsvuek.ini
2008-07-08 19:07 . 2008-07-09 08:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 19:07 . 2008-07-08 19:07 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d65517cf-4838-456a-a781-af76f46f7128}]
2008-07-11 00:11 116352 --a------ C:\WINDOWS\system32\zjudns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 22:07 634880]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2004-10-29 18:26 36972]
"AdaptecDirectCD"="C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-01-23 12:09 675840]
"DAEMON Tools-1033"="C:\Programme\Daemon-Tools\daemon.exe" [2004-08-22 17:05 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 10:24 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [2006-12-12 18:08 3577512]
"S3hotkey"="S3hotkey.exe" [2001-09-12 21:27 40960 C:\WINDOWS\system32\S3hotkey.exe]
"S3TRAY2"="S3tray2.exe" [2002-02-20 16:38 69632 C:\WINDOWS\system32\S3tray2.exe]
"SbUsb AudCtrl"="sbusbdll.dll" [2003-03-12 03:48 64000 C:\WINDOWS\system32\sbusbdll.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-29 23:00:00 65588]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-06 20:10:40 124400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de Firefox\\web_de_Update.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=

R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-04-16 07:04]
S3 sbusb;Sound Blaster USB Audio Driver;C:\WINDOWS\system32\DRIVERS\sbusb.sys [2003-03-25 07:27]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-12-28 14:40]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 14:47:06
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 14:48:28
ComboFix-quarantined-files.txt 2008-07-12 12:48:24
ComboFix2.txt 2008-07-12 09:54:32

15 Verzeichnis(se), 18,967,068,672 Bytes frei
19 Verzeichnis(se), 18,954,911,744 Bytes frei

84 --- E O F --- 2008-03-31 18:23:53
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Seitenanfang Seitenende
12.07.2008, 15:24
Moderator

Beiträge: 5694
#6 Hallo Ziehler

Du hast das Scrip nicht richtig angewendet:

Hast du das erstelle txt File auf das Symbol von Combofix gezogen?

Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 15:27
Member

Themenstarter

Beiträge: 14
#7 genauso hab ich es gemacht. Als txt gespeichert auf dem Desktop und draufgezogen. Mich hat die ähnlichkeit der Logs auch schon gewundert.
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Seitenanfang Seitenende
12.07.2008, 15:32
Moderator

Beiträge: 5694
#8 Startete Combofix dann von alleine? Versuch es noch einmal. Vergiss nicht:

Zitat

'Speichern unter' auf dem Desktop. Gib an "Alle Dateien"
Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 16:48
Member

Themenstarter

Beiträge: 14
#9 So, habs genauso gemacht wie beim ersten mal, aber es startete von alleine und der Log sieht besser aus.

ComboFix 08-07-11.1 - Andy 2008-07-12 15:55:09.3 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.248 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andy\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Andy\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\kwvpcxjx.dll
C:\WINDOWS\system32\txgarqrg.dll
C:\WINDOWS\system32\usnsvuek.ini
C:\WINDOWS\system32\wqfvuj.dll
C:\WINDOWS\system32\zjudns.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kwvpcxjx.dll
C:\WINDOWS\system32\txgarqrg.dll
C:\WINDOWS\system32\usnsvuek.ini
C:\WINDOWS\system32\wqfvuj.dll
C:\WINDOWS\system32\zjudns.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 10:49 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 10:49 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 00:05 . 2001-08-18 10:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-10 19:04 . 2008-07-10 19:04 <DIR> d-------- C:\Programme\a-squared Free
2008-07-10 19:03 . 2008-07-10 19:03 <DIR> d-------- C:\Programme\RegCleaner
2008-07-09 19:05 . 2008-07-09 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-09 18:42 . 2008-07-09 18:42 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 14:03 . 2008-07-09 14:03 <DIR> d--hs---- C:\FOUND.000
2008-07-08 19:07 . 2008-07-09 08:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-08 19:07 . 2008-07-08 19:07 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-12_11.53.57.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-12 09:51:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 13:58:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 22:07 634880]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2004-10-29 18:26 36972]
"AdaptecDirectCD"="C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2002-01-23 12:09 675840]
"DAEMON Tools-1033"="C:\Programme\Daemon-Tools\daemon.exe" [2004-08-22 17:05 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 10:24 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"TomTomHOME.exe"="C:\Programme\TomTom HOME\TomTomHOME.exe" [2006-12-12 18:08 3577512]
"S3hotkey"="S3hotkey.exe" [2001-09-12 21:27 40960 C:\WINDOWS\system32\S3hotkey.exe]
"S3TRAY2"="S3tray2.exe" [2002-02-20 16:38 69632 C:\WINDOWS\system32\S3tray2.exe]
"SbUsb AudCtrl"="sbusbdll.dll" [2003-03-12 03:48 64000 C:\WINDOWS\system32\sbusbdll.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de Firefox\\web_de_Update.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=

R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-04-16 07:04]
S3 sbusb;Sound Blaster USB Audio Driver;C:\WINDOWS\system32\DRIVERS\sbusb.sys [2003-03-25 07:27]
S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-12-28 14:40]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 15:58:58
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAMME\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAMME\A-SQUARED FREE\A2SERVICE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\CDAC11BA.EXE
C:\PROGRAMME\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 16:01:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-12 14:01:52
ComboFix3.txt 2008-07-12 09:54:32
ComboFix2.txt 2008-07-12 12:48:30

15 Verzeichnis(se), 18,918,899,712 Bytes frei
19 Verzeichnis(se), 18,905,595,904 Bytes frei

109 --- E O F --- 2008-03-31 18:23:53
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Seitenanfang Seitenende
12.07.2008, 17:17
Moderator

Beiträge: 5694
#10 Aus meiner Sicht dürfte es sauber sein.

Mach noch einen Onlinescan mit Bitdenfender und berichte:
http://virus-protect.org/onlinescan.html

Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 21:26
Member

Beiträge: 325
#11 @ Tonstudio
Jetzt muß ich doch nochmal nach der "beep.sys" fragen was das für eine Datei sein soll die aufeinmal auf einer anderen Stelle platziert ist?? (grübel)

Zitat

Beep.sys befindet sich im Ordner C:\Windows\System32\drivers. Die Dateigröße unter Windows XP ist 4224 bytes.

Hinweis: Viren und andere schädliche Dateien können sich als Beep.sys tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess Beep.sys auf Ihrem PC um einen Schädling handelt.
Seitenanfang Seitenende
13.07.2008, 03:18
Moderator

Beiträge: 5694
#12 @ Ziehler

EDIT:

Lass mal die Datei bei Virustotal prüfen:
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\beep.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

Gruss Swiss
Dieser Beitrag wurde am 13.07.2008 um 13:23 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
13.07.2008, 10:44
Member

Themenstarter

Beiträge: 14
#13 hier ist der Bericht

BitDefender Online Scanner - Real Time Virus Report

Generated at: Sun, Jul 13, 2008 - 10:43:10


Scan Info

Scanned Files

140950

Infected Files


2

Virus Detected

Trojan.Downloader.Zlob.ACAF

2


This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.


gefällt mir nicht. Und jetzt?
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Seitenanfang Seitenende
13.07.2008, 11:09
Member

Beiträge: 325
#14 @ Ziehler
Hat es denn nicht angezeigt in welchem Ordner es den Virus gefunden hat???
..und könntest Du mal nebenbei auf Deinem System suchen ob die beep.sys auch auf:
C/Windows/System32/drivers
und
C/Windows/System32/dllcache
nochmal ist,
-und gehe mal in die Eigenschaften der Datei, ob das bei allen eine Windows-Version anzeigt +Dateigröße
-muß aber nicht damit zusammenhängen,--> nicht einfach draufloslöschen!!

...und übrigens, kann es sein dass Du Combofix noch auf dem Rechner hast, da werden dann auch angeblich Viren gefunden,weil das Programm virenähnliche Muster 'inne hat !!!
Dieser Beitrag wurde am 13.07.2008 um 11:42 Uhr von Provisitor editiert.
Seitenanfang Seitenende
13.07.2008, 13:05
Member

Themenstarter

Beiträge: 14
#15 stimmt, es war noch auf dem Desktop. Aber jetzt ist gut. Alles sauber.
Die 2 Dateien machen mich nicht nervös. Wurde ja von keinem Programm bemängelt.

Auf jedenfall möchte ich mal Danke sagen für die Unterstützung. Sieht wieder gut aus jetzt.

Gruß
Andy
__________
----------
...und jetzt machen wir alle zusammen FENG-SHUI
Seitenanfang Seitenende