Home » Viren, Trojaner & Malware Forum » Problem mit "Virus Alert" » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Problem mit "Virus Alert"

15.07.2008, 01:07

Uenal

...neu hier

Beiträge: 4

#1 ich hoffe ihr könnt mir helfen ich hab keine ahnung davon und bin verzweifeld....
hab eine datei runtergeladen und auf einmal ging los fenster öffneten sich mit irgendwelchen spyware fenster und das ununterbrochen hoffe ihr könnt mir helfen danke im vorraus mfg ünal

hijackthis
d Micro HijackThis v2.0.2
Scan saved at 00:36: VIRUS ALERT!, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: NormalLogfile of Tren

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VMSnap5.EXE
C:\WINDOWS\Domino.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\Sys23.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\Sys24.exe
C:\Windows\Sys25.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe
C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66026
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66026
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66026
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66026
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66026
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Programme\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O3 - Toolbar: qndsfmao - {2D707802-C57D-42DC-84BA-ADEAAECEF77B} - C:\WINDOWS\qndsfmao.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab?AuthParam=
1213125215_4455003e443bcd0f6d753b42b331d90c&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD42/
JSCDL/jre/6u6-b90/jinstall-
6u6-windows-i586-jc.cab&File=jinstall-6u6-windows-i586-jc.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O21 - SSODL: evgratsm - {AF87350C-0CF7-41AD-A8F7-ADDBA34E6875} - C:\WINDOWS\evgratsm.dll
O21 - SSODL: kvxqmtre - {9E91E8C2-ADE1-4D6A-85B5-BD2A599A3018} - C:\WINDOWS\kvxqmtre.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8140 bytes

hoffe da fehlt nix mach das zum ersten mal

ich weiß nich ob ihr das auch braucht aber ich machs mal der WindowsScan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

209 14.07.2008 ALERT! 18 16:VIRUS
50 14.07.2008 ALERT! 18 08:VIRUS
2.048 14.07.2008 ALERT! 18 07:VIRUS
32.622 14.07.2008 ALERT! 18 06:VIRUS
155.648 14.07.2008 ALERT! 15 38:VIRUS
172.032 14.07.2008 ALERT! 15 38:VIRUS
389.120 14.07.2008 ALERT! 15 38:VIRUS
163.840 14.07.2008 ALERT! 15 38:VIRUS
503.808 14.07.2008 ALERT! 15 38:VIRUS
344.064 14.07.2008 ALERT! 15 38:VIRUS
32.256 14.07.2008 ALERT! 04 19:VIRUS
31.744 14.07.2008 ALERT! 04 19:VIRUS
30.720 14.07.2008 ALERT! 04 19:VIRUS
31.744 14.07.2008 ALERT! 04 19:VIRUS
30.720 14.07.2008 ALERT! 04 19:VIRUS
32.256 14.07.2008 ALERT! 04 19:VIRUS
92 02.07.2008 ALERT! 01 17:VIRUS
876 12.06.2008 ALERT! 23 49:VIRUS
1.026.290 12.06.2008 ALERT! 23 42:VIRUS
65 11.06.2008 ALERT! 00 44:VIRUS
1.409 10.06.2008 ALERT! 19 02:VIRUS
54.156 10.06.2008 ALERT! 19 02:VIRUS
24 18.05.2008 ALERT! 19 53:VIRUS
36 28.04.2008 ALERT! 15 38:VIRUS
407.129 27.03.2008 ALERT! 03 07:VIRUS
0 25.03.2008 ALERT! 19 07:VIRUS
400 25.03.2008 ALERT! 18 58:VIRUS

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

23.357 15.07.2008 ALERT! 00 39:VIRUS
23.310 15.07.2008 ALERT! 00 36:VIRUS
355.584 14.07.2008 ALERT! 22 31:VIRUS
1.735.554 14.07.2008 ALERT! 22 29:VIRUS
143 14.07.2008 ALERT! 22 29:VIRUS
116.352 14.07.2008 ALERT! 21 16:VIRUS
116.352 14.07.2008 ALERT! 21 16:VIRUS
92.672 14.07.2008 ALERT! 21 14:VIRUS
0 14.07.2008 ALERT! 21 12:VIRUS
322.816 14.07.2008 ALERT! 18 03:VIRUS
34.816 14.07.2008 ALERT! 17 58:VIRUS
33.152 14.07.2008 ALERT! 17 58:VIRUS
33.152 14.07.2008 ALERT! 17 58:VIRUS
13.646 14.07.2008 ALERT! 17 49:VIRUS
3.262 14.07.2008 ALERT! 04 19:VIRUS
3.262 14.07.2008 ALERT! 04 19:VIRUS
117.760 14.07.2008 ALERT! 04 19:VIRUS
148.992 20.06.2008 ALERT! 19 39:VIRUS
247.296 20.06.2008 ALERT! 19 39:VIRUS
195.368 11.06.2008 ALERT! 11 20:VIRUS
6.684 10.06.2008 ALERT! 21 14:VIRUS
67.894 10.06.2008 ALERT! 20 08:VIRUS
449.492 10.06.2008 ALERT! 20 08:VIRUS
433.190 10.06.2008 ALERT! 20 08:VIRUS
80.860 10.06.2008 ALERT! 20 08:VIRUS
1.039.726 10.06.2008 ALERT! 20 08:VIRUS
17.486.968 30.05.2008 ALERT! 01 35:VIRUS
28.416 29.05.2008 ALERT! 09 28:VIRUS
1.293.312 07.05.2008 ALERT! 07 14:VIRUS
56 03.05.2008 ALERT! 00 36:VIRUS
3.591.680 23.04.2008 ALERT! 22 16:VIRUS
826.368 23.04.2008 ALERT! 06 16:VIRUS
233.472 23.04.2008 ALERT! 06 16:VIRUS
102.912 23.04.2008 ALERT! 06 16:VIRUS
1.159.680 23.04.2008 ALERT! 06 16:VIRUS
44.544 23.04.2008 ALERT! 06 16:VIRUS
105.984 23.04.2008 ALERT! 06 16:VIRUS
478.208 23.04.2008 ALERT! 06 16:VIRUS
193.024 23.04.2008 ALERT! 06 16:VIRUS
671.232 23.04.2008 ALERT! 06 16:VIRUS
27.648 23.04.2008 ALERT! 06 16:VIRUS
52.224 23.04.2008 ALERT! 06 16:VIRUS
6.066.176 23.04.2008 ALERT! 06 16:VIRUS
267.776 23.04.2008 ALERT! 06 16:VIRUS
1.831.424 23.04.2008 ALERT! 06 16:VIRUS
44.544 23.04.2008 ALERT! 06 16:VIRUS
459.264 23.04.2008 ALERT! 06 16:VIRUS

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 15.07.2008 um 0:39:46,03 ***

hoffe ihr könnt mir helfen ist der rechner von meiner schwester

15.07.2008, 11:44

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Hallo Uenal

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66026

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66026

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66026

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66026

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66026

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll

O3 - Toolbar: qndsfmao - {2D707802-C57D-42DC-84BA-ADEAAECEF77B} - C:\WINDOWS\qndsfmao.dll

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll

O21 - SSODL: evgratsm - {AF87350C-0CF7-41AD-A8F7-ADDBA34E6875} - C:\WINDOWS\evgratsm.dll

O21 - SSODL: kvxqmtre - {9E91E8C2-ADE1-4D6A-85B5-BD2A599A3018} - C:\WINDOWS\kvxqmtre.dll

«
scannen mit Malwarebytes, alles gefundene entfernen lassen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

15.07.2008, 23:27

Uenal

...neu hier

Themenstarter

Beiträge: 4

#3 Malwarebytes:
Report: Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 2

23:17:59 15.07.2008
mbam-log-7-15-2008 (23-17-59).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 73646
Scan Dauer: 52 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 5
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\mqsgvlgp.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\pxqssjdy.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\xxyvsRIB.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\urqQklKB.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUnomll.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92753898-9007-449c-97b2-0d652d7529ef} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{92753898-9007-449c-97b2-0d652d7529ef} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqqklkb (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\98d4ac88 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyvsrib -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyvsrib -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\xxyvsRIB.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\BIRsvyxx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BIRsvyxx.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mqsgvlgp.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\pglvgsqm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pxqssjdy.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ydjssqxp.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vav.cpl (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqQklKB.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\awtSighe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUnomll.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\Sys23.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Combofix:
Report:
ComboFix 08-07-07.3 - Pelin 2008-07-15 21:01:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.234 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Pelin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert\AntiSpywareExpert.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert\Uninstall AntiSpywareExpert.lnk
C:\Dokumente und Einstellungen\Pelin\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Spyware&Malware Protection.url
C:\Programme\AntiSpywareExpert
C:\Programme\AntiSpywareExpert\ase.exe
C:\Programme\PCHealthCenter
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\sex1.ico
C:\Programme\PCHealthCenter\sex2.ico
C:\Programme\PCPrivacyCleaner
C:\Programme\PCPrivacyCleaner\pcpc.exe
C:\Programme\VAV
C:\Programme\VAV\vav.cpl
C:\Programme\VAV\vav.exe
C:\Programme\VAV\vav0.dat
C:\Programme\VAV\vav1.dat
C:\WINDOWS\clofghls.dll
C:\WINDOWS\etvb.exe
C:\WINDOWS\sys1.exe
C:\WINDOWS\system32\BIRsvyxx.ini
C:\WINDOWS\system32\BIRsvyxx.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pglvgsqm.ini
C:\WINDOWS\system32\sex1.ico
C:\WINDOWS\system32\sex2.ico

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15

Danke für die schnelle Hilfe...der Rechner von meiner Schwester funktioniert wieder..glaub ich

können Sie ja bei den angegebenen reports nochmal nachlesen.
Kurze Frage noch welches von den runtergeladenen Virusprogrammen sollte man behalten? welche kann ich löschen?

MFG Uenal

15.07.2008, 23:38

Sabina

Ehrenmitglied

Beiträge: 29434

#4 also, langsam....
das log von Combofix ist nicht komplett - bitte alles posten
__________
MfG Sabina

rund um die PC-Sicherheit

16.07.2008, 13:47

Uenal

...neu hier

Themenstarter

Beiträge: 4

#5 Combofix:
Report:

ComboFix 08-07-07.3 - Pelin 2008-07-15 21:01:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.234 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Pelin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert\AntiSpywareExpert.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert\Uninstall AntiSpywareExpert.lnk
C:\Dokumente und Einstellungen\Pelin\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Pelin\Favoriten\Spyware&Malware Protection.url
C:\Programme\AntiSpywareExpert
C:\Programme\AntiSpywareExpert\ase.exe
C:\Programme\PCHealthCenter
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\sex1.ico
C:\Programme\PCHealthCenter\sex2.ico
C:\Programme\PCPrivacyCleaner
C:\Programme\PCPrivacyCleaner\pcpc.exe
C:\Programme\VAV
C:\Programme\VAV\vav.cpl
C:\Programme\VAV\vav.exe
C:\Programme\VAV\vav0.dat
C:\Programme\VAV\vav1.dat
C:\WINDOWS\clofghls.dll
C:\WINDOWS\etvb.exe
C:\WINDOWS\sys1.exe
C:\WINDOWS\system32\BIRsvyxx.ini
C:\WINDOWS\system32\BIRsvyxx.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pglvgsqm.ini
C:\WINDOWS\system32\sex1.ico
C:\WINDOWS\system32\sex2.ico

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 16:33 . 2008-07-15 16:33 116,864 --a------ C:\WINDOWS\system32\qkxxoebi.dll
2008-07-15 16:33 . 2008-07-15 16:33 116,864 --a------ C:\WINDOWS\system32\mxqumj.dll
2008-07-15 16:32 . 2008-07-15 16:32 93,184 --a------ C:\WINDOWS\system32\mqsgvlgp.dll
2008-07-15 16:30 . 2008-07-15 16:30 322,304 --a------ C:\WINDOWS\system32\xxyvsRIB.dll
2008-07-15 00:27 . 2008-07-15 00:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 00:27 . 2008-07-15 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\Malwarebytes
2008-07-15 00:27 . 2008-07-15 00:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 00:27 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 00:27 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 00:20 . 2008-07-15 00:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-15 00:10 . 2008-07-15 00:10 <DIR> d-------- C:\Programme\Yahoo!
2008-07-15 00:10 . 2008-07-15 00:12 <DIR> d-------- C:\Programme\CCleaner
2008-07-14 23:32 . 2008-07-14 23:32 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 22:31 . 2008-07-14 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\TuneUp Software
2008-07-14 22:31 . 2008-07-14 22:31 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-14 22:31 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-14 22:30 . 2008-07-14 22:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-14 22:29 . 2008-07-14 22:33 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-07-14 22:23 . 2008-07-14 22:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-14 21:36 . 2008-07-14 21:36 <DIR> d-------- C:\Programme\AxBx
2008-07-14 21:16 . 2008-07-14 21:16 116,352 --a------ C:\WINDOWS\system32\owuolrmy.dll
2008-07-14 21:16 . 2008-07-14 21:16 116,352 --a------ C:\WINDOWS\system32\aovmwv.dll
2008-07-14 17:58 . 2008-07-14 17:58 33,152 --a------ C:\WINDOWS\system32\urqQklKB.dll
2008-07-14 17:58 . 2008-07-14 17:58 33,152 --a------ C:\WINDOWS\system32\awtSighe.dll
2008-07-14 17:58 . 2006-02-28 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-14 17:57 . 2008-07-14 15:38 503,808 --a------ C:\WINDOWS\kgxmotapvmb.dll
2008-07-14 17:57 . 2008-07-14 15:38 389,120 --a------ C:\WINDOWS\kvxqmtre.dll
2008-07-14 17:57 . 2008-07-14 15:38 344,064 --a------ C:\WINDOWS\evgratsm.dll
2008-07-14 17:57 . 2008-07-14 15:38 172,032 --a------ C:\WINDOWS\agpqlrfm.exe
2008-07-14 17:57 . 2008-07-14 15:38 155,648 --a------ C:\WINDOWS\qndsfmao.dll
2008-07-14 17:57 . 2008-07-14 04:19 117,760 --a------ C:\WINDOWS\system32\vav.cpl
2008-07-14 17:57 . 2008-07-14 04:19 32,256 --a------ C:\WINDOWS\Sys23.exe
2008-07-04 22:33 . 2008-07-04 22:33 <DIR> d-------- C:\Programme\IrfanView
2008-07-04 22:06 . 2008-07-04 22:06 268 --ah----- C:\sqmdata01.sqm
2008-07-04 22:06 . 2008-07-04 22:06 244 --ah----- C:\sqmnoopt01.sqm
2008-07-02 01:10 . 2008-07-02 01:17 92 --a------ C:\WINDOWS\sozluk.INI
2008-07-02 00:44 . 2008-07-02 00:44 <DIR> d-------- C:\WINDOWS\Anwendungsdaten
2008-07-02 00:44 . 2008-07-02 00:44 <DIR> d-------- C:\Programme\Common Files
2008-07-02 00:44 . 2008-07-02 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\Pelin\WINDOWS
2008-07-02 00:44 . 2000-01-24 05:01 2,023,424 --a------ C:\WINDOWS\system32\vcl50.bpl
2008-07-02 00:44 . 2000-01-31 05:00 1,496,064 --a------ C:\WINDOWS\system32\cc3250mt.dll
2008-07-02 00:44 . 2000-01-24 05:01 558,080 --a------ C:\WINDOWS\system32\vcldb50.bpl
2008-07-02 00:44 . 2000-01-24 05:01 300,032 --a------ C:\WINDOWS\system32\vclbde50.bpl
2008-07-02 00:44 . 1999-03-23 09:12 299,520 --a------ C:\WINDOWS\uninst.exe
2008-07-02 00:44 . 2000-01-31 05:00 25,600 --a------ C:\WINDOWS\system32\borlndmm.dll
2008-06-24 14:29 . 2008-06-24 14:29 <DIR> d-------- C:\Programme\Vimicro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 18:37 --------- d-----w C:\Programme\Crawler
2008-06-24 12:29 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-24 12:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-21 01:00 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\Teleca
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 23:10 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\vlc
2008-06-10 23:06 --------- d-----w C:\Programme\VideoLAN
2008-06-10 22:44 --------- d-----w C:\Programme\Movavi Video Converter 6
2008-06-10 19:14 --------- d-----w C:\Programme\Java
2008-06-10 18:28 --------- d-----w C:\Programme\Paint.NET
2008-06-10 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-10 18:07 --------- d-----w C:\Programme\MSBuild
2008-06-10 18:06 --------- d-----w C:\Programme\Reference Assemblies
2008-06-10 18:02 --------- d-----w C:\Programme\MSXML 6.0
2008-06-10 17:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-10 17:05 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\AdobeUM
2008-06-10 16:11 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\skypePM
2008-06-07 15:02 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\ICQ
2008-06-06 21:17 --------- d-----w C:\Programme\MSXML 4.0
2008-06-06 18:04 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\Sony Ericsson
2008-06-06 18:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-06-06 18:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-06-06 18:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-06-06 18:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-06-06 18:00 --------- d-----w C:\Programme\Sony Ericsson
2008-05-21 20:54 --------- d-----w C:\Programme\Xilisoft
2008-05-18 16:54 --------- d-----w C:\Programme\AutoCAD 2004
2008-05-18 16:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-05-17 16:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-05-17 16:24 --------- d-----w C:\Programme\Autodesk
2008-05-17 16:20 --------- d-----w C:\Dokumente und Einstellungen\Pelin\Anwendungsdaten\Autodesk
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{24c129fc-5441-49aa-b0bc-3c40998b338e}]
2008-07-15 16:33 116864 --a------ C:\WINDOWS\system32\mxqumj.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88154a3f-94aa-4552-b244-674c40fa8ce9}]
2008-07-14 21:16 116352 --a------ C:\WINDOWS\system32\aovmwv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0928FBA-778D-43D0-A576-EB7B886F272C}]
2008-07-15 16:30 322304 --a------ C:\WINDOWS\system32\xxyvsRIB.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0FCCD91-E695-4651-82D7-029F328A8120}]
2008-07-14 17:58 33152 --a------ C:\WINDOWS\system32\urqQklKB.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD1879F3-D9A8-49A0-A855-6EC1BF67B5E2}]
2008-07-14 15:38 503808 --a------ C:\WINDOWS\kgxmotapvmb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-04 19:29 68856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 13:21 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"Domino"="C:\WINDOWS\Domino.EXE" [2006-06-28 17:54 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-28 01:07 593920]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"98d4ac88"="C:\WINDOWS\system32\mqsgvlgp.dll" [2008-07-15 16:32 93184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{F0FCCD91-E695-4651-82D7-029F328A8120}"= "C:\WINDOWS\system32\urqQklKB.dll" [2008-07-14 17:58 33152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"evgratsm"= {110A2312-0C9D-4203-9F4C-7A4D4071DE17} - C:\WINDOWS\evgratsm.dll [2008-07-14 15:38 344064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqQklKB]
2008-07-14 17:58 33152 C:\WINDOWS\system32\urqQklKB.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\wvUnomll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Antivirus"=C:\Programme\VAV\vav.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Antivirus"=C:\Programme\VAV\vav.exe
"AntiSpywareExpert"=C:\Programme\AntiSpywareExpert\ase.exe
"VMSnap5"=C:\WINDOWS\VMSnap5.EXE
"BigDog305"=C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
"98d4ac88"=rundll32.exe "C:\WINDOWS\system32\tcnxltut.dll",b

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-02-28 14:00]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-07-07 17:35]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-14 22:31]
S3 ZSMC0305;Sharkoon - NetFocus;C:\WINDOWS\system32\Drivers\usbVM305.sys [2006-08-01 19:23]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-15 19:14:44 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 21:16:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\urqQklKB.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\mqsgvlgp.dll
-> C:\WINDOWS\system32\wvUnomll.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 21:22:25 - machine was rebooted [Pelin]
ComboFix-quarantined-files.txt 2008-07-15 19:21:58

6 Verzeichnis(se), 27,576,238,080 Bytes frei
8 Verzeichnis(se), 27,880,300,544 Bytes frei

242 --- E O F --- 2008-07-08 20:19:29

ich glaube das war´s....außerdem kommt jedesmal ein Fund von AntiVir Guard
C:/WINDOWS/system32/xxyvsRIB.dll
Ist das Trojanische Pferd TR/Vundo.Gen

Der Internetexplorer liefert mir das hier:
Insecure Internet activity. Threat of virus attack
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your knowledge, and that can lead to system slowdown, freezes and crashes.
Also insecure Internet activity can result in revealing your personal information.
To get full advanced real-time protection for PC and Internet activity, register KvmSecure.
We recommend you to protect your PC now and continue safe Internet browsing.
Click here to get full advanced real-time protection and continue browsing.
Continue to this website unprotected (not recommended).

wäre es nicht einfacher zu formatieren?

16.07.2008, 14:42

Sabina

Ehrenmitglied

Beiträge: 29434

#6 Hallo Uenal

Gehe in die Registry
Start - Ausführen - regedit

oben links: suche - gib ein wvUnomll - lösche nur aus, was ich fett gekennzeichnet habe, nichts mehr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0
C:\WINDOWS\system32\wvUnomll

------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqQklKB]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"evgratsm"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{24c129fc-5441-49aa-b0bc-3c40998b338e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88154a3f-94aa-4552-b244-674c40fa8ce9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0928FBA-778D-43D0-A576-EB7B886F272C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD1879F3-D9A8-49A0-A855-6EC1BF67B5E2}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0FCCD91-E695-4651-82D7-029F328A8120}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"98d4ac88"=-

File::
C:\WINDOWS\system32\wvUnomll.dll
C:\WINDOWS\system32\qkxxoebi.dll
C:\WINDOWS\system32\mxqumj.dll
C:\WINDOWS\system32\mqsgvlgp.dll
C:\WINDOWS\system32\xxyvsRIB.dll
C:\WINDOWS\system32\owuolrmy.dll
C:\WINDOWS\system32\aovmwv.dll
C:\WINDOWS\system32\urqQklKB.dll
C:\WINDOWS\system32\awtSighe.dll
C:\WINDOWS\kgxmotapvmb.dll
C:\WINDOWS\kvxqmtre.dll
C:\WINDOWS\evgratsm.dll
C:\WINDOWS\agpqlrfm.exe
C:\WINDOWS\qndsfmao.dll
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\Sys23.exe

Folder::
C:\Programme\VAV
C:\Programme\AntiSpywareExpert
C:\Programme\Crawler

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

«««

botte in den abgesicherten Modus + scanne noch mal mit Malwarbytes, lasse alles entfernen, was gefunden wird.

dann boote wieder in den normalmodus + poste in neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

17.07.2008, 21:39

Uenal

...neu hier

Themenstarter

Beiträge: 4

#7 hi

also bis Authentication Packages REG_MULTI_SZ msv1_0 bin ich gekommen aber da steht nichts mit C:/WINDOWS/....
ich habe wvUnomll bei der Suche angegeben...ich habe eine meldung bekommen wo drauf stand dass die Registrierung durchscuht wird und dann Registrierung abgeschlossen...
ich denke mal wenn ich den ersten Schritt nicht hinbekommen habe bringen die anderen auch nichts.
stimmt´s?

21.07.2008, 11:47

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Hallo,
sorry, dass ich erst jetzt antworte.
wende erst mal das script von Combofix an, dann scanne im abgesicherten modus noch mal mit Malwarebytes.
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1