XPack.gen und Vundo.gen

#1 Guten Morgen,

Ich habe mein System vor 2-3 Tagen formatiert, denn von irgendwo hat sich diese Antivir2008 Plage bei mir eingeschlichen und ich hab ihn auf radikale Weise entfernen versucht.
Seit der Windows-Neuinstallation habe ich jetzt allerdings immer wieder Meldungen von AntiVir, dass ich sowohl den Trojaner Vundo.gen als auch XPack.gen drauf habe, beide im system32 Ordener. Klicke dann immer auf löschen aber nach kurzer Zeit kommt wieder eine Meldung, dann allerdings in einer anderen .dll-Datei.
Bei einem Sytemscan erkennt AntiVir allerdings nichts.
Habe dann Vundofix laufen lassen, doch der konnte den Vundo nicht löschen und meldet folgendes:
VundoFix V7.0.6

Scan started at 21:22:22 12.08.2008

Listing files found while scanning....

C:\Windows\system32\awtutuUo.dll

Beginning removal...

Attempting to delete C:\Windows\system32\awtutuUo.dll
C:\Windows\system32\awtutuUo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\Windows\system32\awtutuUo.dll
C:\Windows\system32\awtutuUo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Ich hab keine Ahnung wie ich die wieder loswerde und wunder mich vor allem, dass beide dirket nach der Windowsneuinstallation drauf sind, noch bevor ich irgendwas runtergeladen hatte, hatte noch nicht mal das Netzwerkkabel eingsteckt....

Hier schon mal ein HiJack-logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:56, on 14.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxbucoms.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbumon.exe] "C:\Programme\Lexmark 6200 Series\lxbumon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6200 Series\ezprint.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Blaero Start Orb.lnk = C:\Programme\Blaero Start Orb\Blaero Start Orb 2.0.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)



Und das logfile von Combofix (falls das irgendeinen Sinn macht):

ComboFix 08-08-13.02 - Florian 2008-08-14 10:25:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.284 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\awtutuUo.dll
C:\WINDOWS\system32\msv.exe
C:\WINDOWS\system32\wmsoft16101.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-14 bis 2008-08-14 ))))))))))))))))))))))))))))))
.

2008-08-14 06:54 . 2008-08-14 06:54 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-13 15:15 . 2008-08-13 15:15 <DIR> d-------- C:\Programme\Lexmark_6200 Series
2008-08-13 15:14 . 2008-08-13 15:32 <DIR> d-------- C:\Programme\Lx_cats
2008-08-13 15:14 . 2008-08-13 15:15 10,217 --a------ C:\WINDOWS\system32\LexFiles.ulf
2008-08-13 15:13 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-08-13 15:13 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-08-13 15:13 . 2008-04-13 20:45 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-13 15:13 . 2008-04-13 20:45 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-13 15:12 . 2008-08-14 06:51 <DIR> d-------- C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
2008-08-13 15:12 . 2008-08-13 15:15 <DIR> d-------- C:\Programme\Lexmark 6200 Series
2008-08-13 15:07 . 2008-04-13 20:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-13 15:07 . 2008-04-13 20:47 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-12 22:37 . 2008-08-12 22:37 <DIR> d-------- C:\Programme\TrueTransparency
2008-08-12 22:37 . 2008-08-12 22:37 <DIR> d-------- C:\Programme\Styler
2008-08-12 22:37 . 2008-08-12 22:37 <DIR> d-------- C:\Programme\glass2k
2008-08-12 22:37 . 2008-08-12 22:37 <DIR> d-------- C:\Programme\Blaero Start Orb
2008-08-12 22:36 . 2008-08-12 22:36 8,294,454 --a------ C:\WINDOWS\startup.bmp
2008-08-12 21:22 . 2008-08-12 21:47 <DIR> d-------- C:\VundoFix Backups
2008-08-12 21:18 . 2008-08-08 19:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-12 21:18 . 2008-08-08 20:25 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-12 21:18 . 2008-08-08 20:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-12 21:18 . 2008-08-14 10:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-12 21:18 . 2008-08-08 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-12 21:18 . 2008-08-08 20:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-12 21:18 . 2008-08-08 20:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-12 21:18 . 2008-08-12 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-12 20:59 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-12 20:59 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-12 20:34 . 2008-08-12 20:34 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-08-12 20:34 . 2008-08-12 20:34 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-12 20:34 . 2008-08-12 20:34 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-12 20:33 . 2008-08-12 20:33 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-12 20:06 . 2008-04-14 04:22 5,038,080 --a--c--- C:\WINDOWS\system32\dllcache\wmp.dll
2008-08-12 20:05 . 2008-04-14 04:22 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-08-12 20:04 . 2008-04-14 04:20 3,871,770 --a--c--- C:\WINDOWS\system32\dllcache\msdxm.ocx
2008-08-12 20:03 . 2008-04-14 04:23 695,808 -----c--- C:\WINDOWS\system32\dllcache\drmv2clt.dll
2008-08-12 20:02 . 2008-04-14 04:22 286,720 -----c--- C:\WINDOWS\system32\dllcache\blackbox.dll
2008-08-12 20:02 . 2008-04-14 04:22 233,472 --------- C:\WINDOWS\system32\azroles.dll
2008-08-12 20:02 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-08-12 20:02 . 2008-04-14 03:50 9,216 -----c--- C:\WINDOWS\system32\dllcache\asferror.dll
2008-08-12 20:02 . 2008-04-14 04:22 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-08-12 20:02 . 2003-04-02 14:00 999 -----c--- C:\WINDOWS\system32\dllcache\bktrh.gif
2008-08-12 19:24 . 2008-08-12 19:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Florian\UserData
2008-08-12 13:01 . 2008-08-12 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Skype
2008-08-11 22:33 . 2008-08-11 22:33 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\McLoad
2008-08-11 22:04 . 2008-08-11 22:04 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-08-11 22:04 . 2008-08-11 22:04 18,944 --a------ C:\WINDOWS\system32\wk32.dll
2008-08-11 22:04 . 2008-08-11 22:04 3,584 --a------ C:\WINDOWS\system32\ic32.dll
2008-08-11 21:58 . 2008-08-11 21:58 <DIR> d-------- C:\Programme\DivX
2008-08-11 21:57 . 2008-08-11 22:29 <DIR> d-------- C:\Programme\Skype
2008-08-11 21:57 . 2008-08-11 21:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-11 21:56 . 2008-08-11 21:56 <DIR> d-------- C:\Programme\Astonsoft
2008-08-11 21:56 . 2008-08-11 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-11 21:54 . 2008-08-11 21:54 <DIR> d-------- C:\Programme\VideoLAN
2008-08-11 21:34 . 2008-08-11 21:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 21:28 . 2008-08-11 21:28 <DIR> d-------- C:\Programme\QuickTime Alternative
2008-08-11 21:28 . 2008-08-11 21:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-11 21:28 . 2008-05-27 10:50 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-08-11 21:28 . 2008-05-27 10:50 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-08-11 20:55 . 2008-08-13 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\OpenOffice.org2
2008-08-11 20:32 . 2008-08-11 20:32 <DIR> d-------- C:\Programme\Trend Micro
2008-08-10 19:05 . 2008-08-10 19:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd3
2008-08-10 19:05 . 2008-08-10 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\InstallShield
2008-08-10 19:05 . 2007-04-24 16:28 10,252,672 --a------ C:\WINDOWS\system32\drivers\snpstd3.sys
2008-08-10 19:05 . 2007-04-25 10:32 831,488 --a------ C:\WINDOWS\vsnpstd3.exe
2008-08-10 19:05 . 2007-04-23 09:48 262,144 --a------ C:\WINDOWS\tsnpstd3.exe
2008-08-10 19:05 . 2007-02-09 14:13 172,032 --a------ C:\WINDOWS\system32\rsnpstd3.dll
2008-08-10 19:05 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe
2008-08-10 19:05 . 2007-04-26 11:27 61,440 --a------ C:\WINDOWS\system32\vsnpstd3.dll
2008-08-10 19:05 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnpstd3.dll
2008-08-10 19:05 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\csnpstd3.dll
2008-08-10 19:05 . 2007-04-19 13:56 20,480 --a------ C:\WINDOWS\FixCamera.exe
2008-08-10 19:05 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snpstd3.ini
2008-08-10 19:05 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snpstd3.src
2008-08-10 18:44 . 2008-08-10 18:52 <DIR> d-------- C:\DVDVideoSoft
2008-08-10 18:44 . 2008-08-10 18:44 34 --a------ C:\WINDOWS\cdplayer.ini
2008-08-10 18:42 . 2008-08-10 18:43 <DIR> d-------- C:\Programme\Audiograbber
2008-08-10 18:27 . 2008-08-10 18:27 <DIR> d-------- C:\Programme\GIMP-2.0
2008-08-10 13:27 . 2008-08-10 13:27 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-08-10 13:11 . 2008-08-10 13:11 <DIR> d-------- C:\Programme\Guitar Pro 5
2008-08-10 13:03 . 2008-08-10 13:03 <DIR> d-------- C:\Programme\Zattoo
2008-08-10 11:42 . 2008-08-10 11:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-10 11:41 . 2008-08-10 11:41 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-08-10 11:41 . 2002-01-05 15:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-08-10 11:31 . 2008-07-09 10:05 421,888 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-08-10 11:30 . 2008-08-10 11:31 <DIR> d-------- C:\Programme\XP Codec Pack
2008-08-09 14:31 . 2008-08-09 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Styler
2008-08-09 00:50 . 2008-08-12 22:37 <DIR> d-------- C:\WINDOWS\VistaMizer
2008-08-09 00:25 . 2008-08-09 00:25 <DIR> d-------- C:\Programme\MediaMonkey
2008-08-09 00:03 . 2008-08-12 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\BitTorrent
2008-08-09 00:02 . 2008-08-09 00:02 <DIR> d-------- C:\Programme\BitTorrent
2008-08-09 00:01 . 2008-04-13 20:45 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2008-08-09 00:01 . 2008-04-13 18:39 142,592 --a------ C:\WINDOWS\system32\drivers\aec.sys
2008-08-09 00:01 . 2008-04-13 21:17 83,072 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-08-09 00:01 . 2008-04-13 21:15 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2008-08-09 00:01 . 2008-04-13 20:45 56,576 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-08-09 00:01 . 2008-04-13 20:45 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2008-08-09 00:01 . 2008-04-13 20:39 7,552 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2008-08-09 00:01 . 2008-04-13 20:45 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-08-09 00:01 . 2008-04-13 20:39 4,992 --a------ C:\WINDOWS\system32\drivers\mspqm.sys
2008-08-09 00:01 . 2008-04-13 20:45 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2008-08-09 00:00 . 2008-04-13 21:19 146,048 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-08-09 00:00 . 2008-04-14 04:23 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-08-09 00:00 . 2008-04-13 20:45 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-08-09 00:00 . 2008-04-13 20:39 5,376 --a------ C:\WINDOWS\system32\drivers\mspclock.sys
2008-08-09 00:00 . 2008-04-14 04:22 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-08-08 23:03 . 2008-08-08 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\WINDOWS
2008-08-08 23:03 . 2003-06-18 16:48 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-08-08 23:03 . 2003-07-02 04:42 27,904 --a------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2008-08-08 20:51 . 2008-08-08 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-08-08 20:49 . 2008-08-08 20:49 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-08-08 20:37 . 2008-08-12 20:56 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-08-08 20:34 . 2008-08-12 20:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-08 20:30 . 2007-08-10 20:44 26,488 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-08 20:30 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002161_.tmp
2008-08-08 20:29 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-08-08 20:28 . 2008-04-14 04:22 4,274,816 --a------ C:\WINDOWS\system32\nv4_disp.dll
2008-08-08 20:28 . 2004-08-03 22:29 1,897,408 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-08-08 20:28 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-08-08 20:28 . 2008-04-14 04:22 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-08-08 20:27 . 2008-08-12 20:35 <DIR> d-------- C:\WINDOWS\EHome
2008-08-08 20:27 . 2008-04-14 04:22 86,528 --a------ C:\WINDOWS\system32\usbui.dll
2008-08-08 20:27 . 2008-04-14 03:55 52,992 --a------ C:\WINDOWS\system32\drivers\i8042prt.sys
2008-08-08 20:27 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-08-08 20:27 . 2008-04-13 20:45 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-12 20:36 219,136 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-08-10 17:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-09 13:20 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\ICQ
2008-08-08 20:01 --------- d-----w C:\Programme\ICQ6
2008-08-08 19:35 --------- d-----w C:\Programme\Avira
2008-08-08 19:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-08 19:01 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Thunderbird
2008-08-08 19:01 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Talkback
2008-08-08 17:50 --------- d-----w C:\Programme\microsoft frontpage
2008-08-08 17:47 --------- d-----w C:\Programme\Online-Dienste
2008-08-08 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-23 16:50 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-05 10:14 456,192 ----a-w C:\WINDOWS\system32\libmplayer.dll
2008-07-05 10:14 3,591,168 ----a-w C:\WINDOWS\system32\libavcodec.dll
2008-07-05 10:13 708,096 ----a-w C:\WINDOWS\system32\ff_x264.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 816,640 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 16:34 177,664 ----a-w C:\WINDOWS\system32\ff_theora.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:39 23,552 ----a-w C:\WINDOWS\system32\ff_wmv9.dll
2008-06-12 17:36 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
.

------- Sigcheck -------

2008-04-21 08:56 672256 018aded93507a4aea4f55741863dbc9e C:\WINDOWS\$hf_mig$\KB950759\SP2QFE\wininet.dll
2008-04-21 08:42 671744 11d26d87e041000ea4c0128cd0010f7a C:\WINDOWS\$hf_mig$\KB950759\SP3GDR\wininet.dll
2008-04-21 08:24 672256 645a4a4884eb5eb8453c01531fcbec3a C:\WINDOWS\$hf_mig$\KB950759\SP3QFE\wininet.dll
2008-06-23 16:55 672256 6432638b5ce374d912c0c4f2a9f03dae C:\WINDOWS\$hf_mig$\KB953838\SP3QFE\wininet.dll
2008-04-21 09:01 809984 8dc2f61b663d7985bf379747421961ce C:\WINDOWS\$NtServicePackUninstall$\wininet.dll
2008-04-14 04:22 671744 b4aee98a48917b274facfb78bbe0bc84 C:\WINDOWS\$NtUninstallKB950759$\wininet.dll
2004-08-04 00:57 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\$NtUninstallKB950759_0$\wininet.dll
2008-04-21 08:42 671744 11d26d87e041000ea4c0128cd0010f7a C:\WINDOWS\$NtUninstallKB953838$\wininet.dll
2008-06-23 17:10 816640 2af4460189398230964f530642bd8f8f C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-04-21 09:01 665088 fbed32c104bd9410e2da2d3ac1ce4008 C:\WINDOWS\SoftwareDistribution\Download\6c3cd71963a57fb075df0315e528a9fd\sp2gdr\wininet.dll
2008-04-21 08:56 672256 018aded93507a4aea4f55741863dbc9e C:\WINDOWS\SoftwareDistribution\Download\6c3cd71963a57fb075df0315e528a9fd\sp2qfe\wininet.dll
2008-04-21 08:42 671744 11d26d87e041000ea4c0128cd0010f7a C:\WINDOWS\SoftwareDistribution\Download\6c3cd71963a57fb075df0315e528a9fd\sp3gdr\wininet.dll
2008-04-21 08:24 672256 645a4a4884eb5eb8453c01531fcbec3a C:\WINDOWS\SoftwareDistribution\Download\6c3cd71963a57fb075df0315e528a9fd\sp3qfe\wininet.dll
2008-04-14 04:22 671744 b4aee98a48917b274facfb78bbe0bc84 C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\wininet.dll
2008-06-23 17:10 671744 978542595cf09a86e2ef60552a35c937 C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3gdr\wininet.dll
2008-06-23 16:55 672256 6432638b5ce374d912c0c4f2a9f03dae C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3qfe\wininet.dll
2008-06-23 17:10 816640 2af4460189398230964f530642bd8f8f C:\WINDOWS\system32\wininet.dll
2008-06-23 17:10 816640 2af4460189398230964f530642bd8f8f C:\WINDOWS\system32\dllcache\wininet.dll
2008-06-23 17:10 671744 978542595cf09a86e2ef60552a35c937 C:\WINDOWS\VistaMizer\old\wininet.dll

2004-08-04 00:58 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2008-04-14 04:23 552448 ad37df3fb8f168e42c09b77b487f6812 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-04-14 04:23 513024 f09a527b422e25c478e38caa0e44417a C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\winlogon.exe
2008-04-14 04:23 552448 ad37df3fb8f168e42c09b77b487f6812 C:\WINDOWS\system32\winlogon.exe
2008-04-14 04:23 513024 f09a527b422e25c478e38caa0e44417a C:\WINDOWS\VistaMizer\old\winlogon.exe

2004-08-04 00:50 2316416 fc673a5afa66ffb7afcc19abc39d1a37 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2008-04-14 04:00 2325504 1a9e4e32b80af52bc162a6d49a615f37 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 04:00 2068224 e51980ef65ced4490a7395a06c08da34 C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ntkrnlpa.exe
2008-04-14 04:00 2325504 1a9e4e32b80af52bc162a6d49a615f37 C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 04:00 2068224 e51980ef65ced4490a7395a06c08da34 C:\WINDOWS\VistaMizer\old\ntkrnlpa.exe

2004-08-04 00:50 2440576 fa88db67af2fe530d9dadfff05a9302d C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2008-04-14 04:00 2448640 398517bd0ddb5789e061572dede23e30 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-04-14 04:00 2191360 354c9291513bce4d0ed6b0c6a15470f8 C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ntoskrnl.exe
2008-04-14 04:00 2448640 398517bd0ddb5789e061572dede23e30 C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 04:00 2191360 354c9291513bce4d0ed6b0c6a15470f8 C:\WINDOWS\VistaMizer\old\ntoskrnl.exe

2008-04-14 04:22 1555456 f2efd37f81b5b7820dd2e14e0eebaf8e C:\WINDOWS\explorer.exe
2004-08-04 00:57 1553920 e74dd582df778b6b4725f09815109749 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2008-04-14 04:22 1555456 f2efd37f81b5b7820dd2e14e0eebaf8e C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2008-04-14 04:22 1036800 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\explorer.exe
2008-04-14 04:22 1036800 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\VistaMizer\old\explorer.exe

2004-08-04 00:57 25088 99203e789da6e756ea34a8f836f4e99e C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 04:22 25088 7270f0b822cb67f0c32bef7fb00ca4d4 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-04-14 04:22 15360 01b4e6e990b6c5ea8856d96c7fd044b2 C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ctfmon.exe
2008-04-14 04:22 25088 7270f0b822cb67f0c32bef7fb00ca4d4 C:\WINDOWS\system32\ctfmon.exe
2008-04-14 04:22 15360 01b4e6e990b6c5ea8856d96c7fd044b2 C:\WINDOWS\VistaMizer\old\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 25088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-04-19 13:56 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-23 09:48 262144]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-04-25 10:32 831488]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"LXBUCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2004-11-02 16:03 69632]
"lxbumon.exe"="C:\Programme\Lexmark 6200 Series\lxbumon.exe" [2005-01-18 10:36 196608]
"EzPrint"="C:\Programme\Lexmark 6200 Series\ezprint.exe" [2004-09-17 13:24 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 25088]

C:\Dokumente und Einstellungen\Florian\Startmen�\Programme\Autostart\
Blaero Start Orb.lnk - C:\Programme\Blaero Start Orb\Blaero Start Orb 2.0.exe [2006-07-30 20:32:48 521216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\lxbucoms.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxbuPSWX.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

S2 MSDisk;Network helper Service;C:\WINDOWS\System32\irdvxc.exe []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\cr40xax8.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 10:27:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBUCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16?????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-14 10:30:59
ComboFix-quarantined-files.txt 2008-08-14 08:30:36

Pre-Run: 10 Verzeichnis(se), 13,132,910,592 Bytes frei
Post-Run: 12 Verzeichnis(se), 13,171,806,208 Bytes frei

312 --- E O F --- 2008-08-12 19:16:04


Wäre super wenn mir jemand helfen könnte, bin im Notfall auch bereit, nochmal zu formatieren, wenn es andere Möglichkeiten gäbe wären diese mir allerdings lieber.


mfg und Dankeschön schonmal

#2 Hallo, Flo1988

1.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Network helper Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

MSDisk

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------------------------------------------------------------

2.
wende zoek an + poste den report
http://virus-protect.org/artikel/tools/zoek.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Okay.....
erstma Schritt eins:
1.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 14.08.2008 15:02:04 for strings:
; 'network helper service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK\0000]
"DeviceDesc"="Network helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk]
"DisplayName"="Network helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK\0000]
"DeviceDesc"="Network helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk]
"DisplayName"="Network helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK\0000]
"DeviceDesc"="Network helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk]
"DisplayName"="Network helper Service"

; End Of The Log...


2.

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 14.08.2008 15:04:04 for strings:
; 'msdisk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK\0000]
"Service"="MSDisk"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk\Enum]
"0"="Root\\LEGACY_MSDISK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK\0000]
"Service"="MSDisk"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK\0000]
"Service"="MSDisk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk\Enum]
"0"="Root\\LEGACY_MSDISK\\0000"

; End Of The Log...



und zoek:

======C:\WINDOWS====
----a-w 0 2008-08-14 04:52:04 C:\WINDOWS\0.log
--s-a-w 2,048 2008-08-14 04:51:43 C:\WINDOWS\bootstat.dat
----a-w 34 2008-08-10 16:44:39 C:\WINDOWS\cdplayer.ini
----a-w 373 2008-08-12 18:36:45 C:\WINDOWS\cmsetacl.log
----a-w 69,853 2008-08-12 19:16:04 C:\WINDOWS\comsetup.log
----a-w 0 2008-08-08 17:49:42 C:\WINDOWS\control.ini
----a-w 586 2008-08-12 18:55:46 C:\WINDOWS\DtcInstall.log
----a-w 201,738 2008-08-12 19:16:04 C:\WINDOWS\FaxSetup.log
----a-w 298,020 2008-08-12 19:16:04 C:\WINDOWS\iis6.log
----a-w 1,374 2008-08-12 19:15:59 C:\WINDOWS\imsins.BAK
----a-w 1,374 2008-08-12 19:16:04 C:\WINDOWS\imsins.log
----a-w 4,574 2008-08-12 17:29:31 C:\WINDOWS\KB892130.log
----a-w 8,653 2008-08-08 19:29:04 C:\WINDOWS\KB898461.log
----a-w 3,653 2008-08-12 11:04:17 C:\WINDOWS\KB917344.log
----a-w 24,838 2008-08-12 18:41:12 C:\WINDOWS\KB942763.log
----a-w 4,115 2008-08-12 11:04:19 C:\WINDOWS\KB942840.log
----a-w 9,501 2008-08-12 19:15:59 C:\WINDOWS\KB946648.log
----a-w 15,319 2008-08-09 07:15:15 C:\WINDOWS\KB950749.log
----a-w 221,699 2008-08-12 18:42:33 C:\WINDOWS\KB950759.log
----a-w 7,917 2008-08-09 07:15:43 C:\WINDOWS\KB950760.log
----a-w 209,435 2008-08-12 18:43:59 C:\WINDOWS\KB950762.log
----a-w 15,438 2008-08-12 19:15:48 C:\WINDOWS\KB950974.log
----a-w 8,879 2008-08-12 19:14:39 C:\WINDOWS\KB951066.log
----a-w 28,397 2008-08-12 19:14:52 C:\WINDOWS\KB951072-v2.log
----a-w 209,505 2008-08-12 18:45:23 C:\WINDOWS\KB951376-v2.log
----a-w 215,276 2008-08-12 18:46:34 C:\WINDOWS\KB951698.log
----a-w 216,818 2008-08-12 18:47:44 C:\WINDOWS\KB951748.log
----a-w 4,194 2008-08-14 04:55:17 C:\WINDOWS\KB951978.log
----a-w 8,899 2008-08-12 19:14:44 C:\WINDOWS\KB952287.log
----a-w 15,951 2008-08-12 19:16:04 C:\WINDOWS\KB952954.log
----a-w 16,242 2008-08-12 19:14:33 C:\WINDOWS\KB953838.log
----a-w 8,998 2008-08-12 19:15:53 C:\WINDOWS\KB953839.log
----a-w 17,770 2008-08-12 19:16:04 C:\WINDOWS\medctroc.Log
----a-w 11,151 2008-08-12 19:16:04 C:\WINDOWS\msgsocm.log
----a-w 79,086 2008-08-12 19:16:03 C:\WINDOWS\msmqinst.log
----a-w 37,045 2008-08-12 19:16:04 C:\WINDOWS\netfxocm.log
----a-w 0 2008-08-08 18:07:35 C:\WINDOWS\nsreg.dat
----a-w 115,042 2008-08-12 19:46:07 C:\WINDOWS\ntbtlog.txt
----a-w 43,062 2008-08-12 19:16:04 C:\WINDOWS\ntdtcsetup.log
----a-w 146,206 2008-08-12 19:16:04 C:\WINDOWS\ocgen.log
----a-w 11,255 2008-08-12 19:16:04 C:\WINDOWS\ocmsn.log
----a-w 4,161 2008-08-08 17:49:28 C:\WINDOWS\ODBCINST.INI
----a-w 1,519 2008-08-12 18:56:03 C:\WINDOWS\OEWABLog.txt
----a-w 8,192 2008-08-08 17:54:14 C:\WINDOWS\REGLOCS.OLD
----a-w 2,492 2008-08-08 18:32:41 C:\WINDOWS\regopt.log
----a-w 3,708 2008-08-14 01:41:40 C:\WINDOWS\SchedLgU.Txt
----a-w 1,641 2008-08-12 18:36:31 C:\WINDOWS\sessmgr.setup.log
----a-w 187,327 2008-08-11 18:42:44 C:\WINDOWS\setupact.log
----a-w 480,689 2008-08-14 04:52:12 C:\WINDOWS\setupapi.log
----a-w 0 2008-08-08 18:24:53 C:\WINDOWS\setuperr.log
----a-w 790,828 2008-08-12 18:54:52 C:\WINDOWS\setuplog.txt
----a-w 98,589 2008-08-12 18:56:35 C:\WINDOWS\spupdsvc.log
----a-w 187 2008-08-12 18:54:40 C:\WINDOWS\spupdsvc.log.1.log
----a-w 8,294,454 2008-08-12 20:36:53 C:\WINDOWS\startup.bmp
----a-w 0 2008-08-08 18:29:22 C:\WINDOWS\Sti_Trace.log
----a-w 928,939 2008-08-12 18:47:48 C:\WINDOWS\svcpack.log
----a-w 227 2008-08-14 08:27:51 C:\WINDOWS\system.ini
----a-w 10,960 2008-08-12 19:16:04 C:\WINDOWS\tabletoc.log
----a-w 105,245 2008-08-12 19:16:04 C:\WINDOWS\tsoc.log
----a-w 114,276 2008-08-12 19:16:03 C:\WINDOWS\updspapi.log
----a-w 36 2008-08-08 17:45:57 C:\WINDOWS\vb.ini
----a-w 37 2008-08-08 17:45:57 C:\WINDOWS\vbaddin.ini
----a-w 157 2008-08-14 04:52:00 C:\WINDOWS\wiadebug.log
----a-w 313 2008-08-14 04:51:55 C:\WINDOWS\wiaservc.log
----a-w 596 2008-08-10 17:05:56 C:\WINDOWS\win.ini
----a-w 280 2008-08-08 17:49:04 C:\WINDOWS\Windows Update.log
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\WindowsShell.Manifest
----a-w 1,066,888 2008-08-14 11:26:17 C:\WINDOWS\WindowsUpdate.log
----a-w 2,193 2008-08-12 18:56:26 C:\WINDOWS\wmsetup.log
----a-w 316,640 2008-08-12 18:56:07 C:\WINDOWS\WMSysPr9.prx
----a-w 299,552 2008-08-08 17:49:39 C:\WINDOWS\WMSysPrx.prx

Entries: 71 (69)
Directories: 0 Files: 71
Bytes: 15,015,193 Blocks: 29,363
======C:\WINDOWS\system32=====
----a-w 261 2008-08-08 17:53:17 C:\WINDOWS\System32\$winnt$.inf
----a-w 16,832 2008-08-08 17:49:40 C:\WINDOWS\System32\amcompat.tlb
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\System32\cdplayer.exe.manifest
----a-w 2,951 2008-08-08 17:49:42 C:\WINDOWS\System32\CONFIG.NT
----a-w 683,520 2008-07-25 08:34:36 C:\WINDOWS\System32\DivX.dll
----a-w 161,096 2008-07-25 08:34:30 C:\WINDOWS\System32\DivXCodecVersionChecker.exe
----a-w 634,880 2008-07-23 16:47:18 C:\WINDOWS\System32\divxdec.ax
----a-w 352,401 2008-07-23 16:47:18 C:\WINDOWS\System32\DivXMedia.ax
----a-w 524,288 2008-07-25 08:36:00 C:\WINDOWS\System32\DivXsm.exe
----a-w 4,816 2008-07-25 08:36:00 C:\WINDOWS\System32\divxsm.tlb
----a-w 12,288 2008-07-23 16:46:38 C:\WINDOWS\System32\DivXWMPExtType.dll
----a-w 823,296 2008-07-25 08:34:42 C:\WINDOWS\System32\divx_xx07.dll
----a-w 815,104 2008-07-25 08:34:40 C:\WINDOWS\System32\divx_xx0a.dll
----a-w 823,296 2008-07-25 08:34:40 C:\WINDOWS\System32\divx_xx0c.dll
----a-w 802,816 2008-07-25 08:34:40 C:\WINDOWS\System32\divx_xx11.dll
----a-w 81,920 2008-07-25 08:34:54 C:\WINDOWS\System32\dpl100.dll
----a-w 416 2008-07-23 16:47:34 C:\WINDOWS\System32\dpl100.dll.manifest
----a-w 294,912 2008-07-25 08:34:46 C:\WINDOWS\System32\dpu10.dll
----a-w 294,912 2008-07-25 08:34:46 C:\WINDOWS\System32\dpu11.dll
----a-w 8,523 2008-07-23 16:47:32 C:\WINDOWS\System32\dpude.qm
----a-w 53,248 2008-07-25 08:34:50 C:\WINDOWS\System32\dpuGUI10.dll
----a-w 593,920 2008-07-25 08:34:46 C:\WINDOWS\System32\dpuGUI11.dll
----a-w 344,064 2008-07-25 08:34:46 C:\WINDOWS\System32\dpus11.dll
----a-w 57,344 2008-07-25 08:34:46 C:\WINDOWS\System32\dpv11.dll
----a-w 10,152 2008-07-23 16:50:56 C:\WINDOWS\System32\dsm_de.qm
----a-w 196,608 2008-07-25 08:34:52 C:\WINDOWS\System32\dtu100.dll
----a-w 416 2008-07-23 16:47:34 C:\WINDOWS\System32\dtu100.dll.manifest
----a-w 3,051 2008-07-23 16:47:32 C:\WINDOWS\System32\dtu_de.qm
----a-w 21,740 2008-08-08 17:46:12 C:\WINDOWS\System32\emptyregdb.dat
----a-w 119,744 2008-08-12 18:53:48 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 0 2008-08-08 18:42:38 C:\WINDOWS\System32\h323log.txt
----a-w 79 2008-08-08 18:07:17 C:\WINDOWS\System32\i
----a-w 3,584 2008-08-11 20:04:33 C:\WINDOWS\System32\ic32.dll
----a-w 10,217 2008-08-13 13:15:11 C:\WINDOWS\System32\LexFiles.ulf
----a-w 1,044,480 2008-07-23 16:48:40 C:\WINDOWS\System32\libdivx.dll
---ha-r 488 2008-08-08 17:48:13 C:\WINDOWS\System32\logonui.exe.manifest
----a-w 15,888,504 2008-08-05 18:11:01 C:\WINDOWS\System32\MRT.exe
----a-w 124,688 2008-08-11 20:04:33 C:\WINDOWS\System32\MSWINSCK.OCX
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\System32\ncpa.cpl.manifest
----a-w 23,392 2008-08-08 17:49:40 C:\WINDOWS\System32\nscompat.tlb
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\System32\nwc.cpl.manifest
----a-w 48,156 2008-08-12 18:56:56 C:\WINDOWS\System32\perfc007.dat
----a-w 39,992 2008-08-12 18:56:56 C:\WINDOWS\System32\perfc009.dat
----a-w 316,594 2008-08-12 18:56:56 C:\WINDOWS\System32\perfh007.dat
----a-w 311,604 2008-08-12 18:56:56 C:\WINDOWS\System32\perfh009.dat
----a-w 723,744 2008-08-12 18:56:54 C:\WINDOWS\System32\PerfStringBackup.INI
------w 551,672 2008-07-23 16:50:46 C:\WINDOWS\System32\px.dll
------w 129,784 2008-07-23 16:50:46 C:\WINDOWS\System32\pxafs.dll
------w 66,296 2008-07-23 16:50:46 C:\WINDOWS\System32\pxcpya64.exe
------w 120,056 2008-07-23 16:50:48 C:\WINDOWS\System32\pxcpyi64.exe
------w 518,904 2008-07-23 16:50:48 C:\WINDOWS\System32\pxdrv.dll
------w 72,440 2008-07-23 16:50:48 C:\WINDOWS\System32\pxhpinst.exe
------w 64,760 2008-07-23 16:50:46 C:\WINDOWS\System32\pxinsa64.exe
------w 118,520 2008-07-23 16:50:46 C:\WINDOWS\System32\pxinsi64.exe
------w 187,128 2008-07-23 16:50:50 C:\WINDOWS\System32\pxmas.dll
------w 1,628,920 2008-07-23 16:50:48 C:\WINDOWS\System32\pxsfs.dll
------w 379,640 2008-07-23 16:50:48 C:\WINDOWS\System32\pxwave.dll
----a-w 3,596,288 2008-07-23 16:50:52 C:\WINDOWS\System32\qt-dx331.dll
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\System32\sapi.cpl.manifest
----a-w 245 2008-08-12 18:54:37 C:\WINDOWS\System32\spupdwxp.log
----a-w 200,704 2008-07-23 16:48:40 C:\WINDOWS\System32\ssldivx.dll
----a-w 359,250 2008-08-12 19:14:49 C:\WINDOWS\System32\TZLog.log
----a-w 219,136 2008-08-12 20:36:54 C:\WINDOWS\System32\uxtheme.dll
----a-w 1,003,520 2008-07-28 11:40:32 C:\WINDOWS\System32\VSFilter.dll
------w 88,824 2008-07-23 16:50:46 C:\WINDOWS\System32\vxblock.dll
---ha-r 488 2008-08-08 17:48:14 C:\WINDOWS\System32\WindowsLogon.manifest
----a-w 18,944 2008-08-11 20:04:33 C:\WINDOWS\System32\wk32.dll
----a-w 25,065 2008-08-08 17:58:24 C:\WINDOWS\System32\wmpscheme.xml
----a-w 13,588 2008-08-08 17:57:45 C:\WINDOWS\System32\wpa.bak
----a-w 13,646 2008-08-14 04:51:44 C:\WINDOWS\System32\wpa.dbl
---ha-r 749 2008-08-08 17:48:07 C:\WINDOWS\System32\wuaucpl.cpl.manifest

Entries: 71 (64)
Directories: 0 Files: 71
Bytes: 35,655,900 Blocks: 69,661
======C:\WINDOWS\system32\drivers=====
------w 9,336 2008-07-23 16:50:48 C:\WINDOWS\System32\drivers\cdr4_xp.sys
------w 9,464 2008-07-23 16:50:48 C:\WINDOWS\System32\drivers\cdralw2k.sys
------w 43,528 2008-07-23 16:50:48 C:\WINDOWS\System32\drivers\PxHelp20.sys

Entries: 3 (3)
Directories: 0 Files: 3
Bytes: 62,328 Blocks: 124
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
----a-w 0 2008-08-08 17:49:42 C:\AUTOEXEC.BAT
--sha-r 211 2008-08-08 18:37:59 C:\boot.ini
----a-w 24,285 2008-08-14 08:31:00 C:\ComboFix.txt
----a-w 0 2008-08-08 17:49:42 C:\CONFIG.SYS
--sha-w 536,399,872 2008-08-14 04:51:41 C:\hiberfil.sys
--sha-r 0 2008-08-08 17:49:42 C:\IO.SYS
----a-w 397 2008-08-13 13:32:35 C:\lxbuscan.log
--sha-r 0 2008-08-08 17:49:42 C:\MSDOS.SYS
--sha-r 47,564 2008-08-08 18:31:51 C:\NTDETECT.COM
--sha-r 251,712 2008-08-12 18:22:02 C:\ntldr
--sha-w 805,306,368 2008-08-14 04:51:38 C:\pagefile.sys
----a-w 1,968 2008-08-12 19:48:33 C:\VundoFix.txt

Entries: 12 (5)
Directories: 0 Files: 12
Bytes: 1,342,032,377 Blocks: 2,621,159
======C:\Dokumente und Einstellungen\Florian\Anwendungsdaten======
--sha-w 62 2008-08-08 18:25:29 C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\desktop.ini

Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 62 Blocks: 1
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\Florian======
---ha-w 1,572,864 2008-08-14 01:41:44 C:\Dokumente und Einstellungen\Florian\NTUSER.DAT
---ha-w 77,824 2008-08-14 13:05:46 C:\Dokumente und Einstellungen\Florian\NTUSER.DAT.LOG
--sh--w 190 2008-08-14 01:41:22 C:\Dokumente und Einstellungen\Florian\ntuser.ini
----a-w 6,854,024 2008-08-13 18:29:31 C:\Dokumente und Einstellungen\Florian\Peja - Zycie kurewskie.mp3
----a-w 4,661,191 2008-08-13 18:22:31 C:\Dokumente und Einstellungen\Florian\Sido - Weihnachtssong.mp3

Entries: 5 (2)
Directories: 0 Files: 5
Bytes: 13,166,093 Blocks: 25,716
======C:\WINDOWS\Downloaded Program Files====
---h--w 65 2008-08-08 17:48:14 C:\WINDOWS\Downloaded Program Files\desktop.ini

Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 65 Blocks: 1
=============



soweit erstmal.....

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk
Files to delete:
C:\WINDOWS\System32\i

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

**
scanne online mit Kaspersky + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ja denn avenegr hab ich durchlaufen lassen, aber was soll ich bei kaspersky jetzt genau scannen lassen?

Wichtige Objekte
Wichtige Objekte Ihrer Festplatte untersuchen, die sich in den Systemvariablen %windir% und %tmp% befinden;
Memory
scan disk modules of running processes
Arbeitsplatz
alle Festplatten und Netzlaufwerke untersuchen
E-Mail
nur Objekte mit den Erweiterungen *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS untersuchen, die sich auf Festplatten und Netzlaufwerken befinden
Ordner...
die ausgewählten Ordner untersuchen
Datei...
eine Datei untersuchen

???

#6 Laufwerk c: und die Mails, das reicht
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hat ein bisschen gedauert aber jetzt die reports:


C:\QooBox\Quarantine\C\WINDOWS\system32\awtutuUo.dll.vir Infizierte Objekte: Trojan.Win32.Monderb.ecc übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{B15B87A8-7D7E-4AF2-9DC9-CCE895372A82}\RP4\A0000757.dll Infizierte Objekte: Trojan.Win32.Monderb.ecc übersprungen
C:\System Volume Information\_restore{B15B87A8-7D7E-4AF2-9DC9-CCE895372A82}\RP5\change.log Das Objekt ist gesperrt übersprungen
C:\VundoFix Backups\awtutuUo.dll.bad Infizierte Objekte: Trojan.Win32.Monderb.ecc übersprungen





««

#8 Hallo, Flo1988

ComboFix entfernen
Start - Ausführen - Kopiere rein:

Combofix /U

- klicke "OK"

----------------

lösche (falls es nach Entfernen der Combofix noch vorhanden ist)
C:\VundoFix Backups
C:\QooBox

+ leere den Papierkorb, dann deaktiviere die Sytemwiederherstellung (danach wieder aktivieren)

--------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#9 jo hab ich gemacht:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 44CD-0993

Verzeichnis von C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5

16.08.2008 15:09 327.680 index.dat
1 Datei(en) 327.680 Bytes
0 Verzeichnis(se), 12.907.749.376 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 44CD-0993

Verzeichnis von C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temp

16.08.2008 15:08 <DIR> .
16.08.2008 15:08 <DIR> ..
15.08.2008 09:41 <DIR> KAV Updater update files
14.08.2008 15:05 14.162 Log.txt
15.08.2008 00:25 <DIR> plugtmp
15.08.2008 18:47 <DIR> plugtmp-1
16.08.2008 03:46 <DIR> plugtmp-2
03.01.2008 19:47 49.152 vfind.exe
15.08.2008 10:52 5.316.608 x65D46F52E4A66D9318AD312176B896EE.tmp
12.08.2008 12:10 1.041 zoek.bat
4 Datei(en) 5.380.963 Bytes
6 Verzeichnis(se), 12.907.745.280 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 44CD-0993

Verzeichnis von C:\WINDOWS\Temp

15.08.2008 21:52 <DIR> .
15.08.2008 21:52 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 12.907.745.280 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 44CD-0993

Verzeichnis von C:\Temp

13.08.2008 15:12 <DIR> .
13.08.2008 15:12 <DIR> ..
14.08.2008 06:51 <DIR> {9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 12.907.745.280 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 44CD-0993

Verzeichnis von C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}

14.08.2008 06:51 <DIR> .
14.08.2008 06:51 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 12.907.745.280 Bytes frei

#10 Hallo,Flo1988

«
ich bin mir nicht sicher, wozu dies hier gehört:

C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}

«
Verzeichnis von C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temp\
49.152 vfind.exe - scheint zum fixwareout zu gehören.

du kannst alles entfernen, lasse es jedoch einige Zeit im Papierkorb, wenn es keine Probleme gibt, leere den Papierkorb

«
wende toolscleaner an + poste den report
http://virus-protect.org/artikel/tools/toolscleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 jo soweit:

-->- Recherche:

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HijackThis: trouvé !
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HijackThis\HijackThis.lnk: trouvé !
C:\Dokumente und Einstellungen\Florian\Desktop\HijackThis.lnk: trouvé !
C:\Dokumente und Einstellungen\Florian\Desktop\avenger.exe: trouvé !
C:\Dokumente und Einstellungen\Florian\Desktop\vundoFix.exe: trouvé !
C:\Dokumente und Einstellungen\Florian\Recent\HijackThis.lnk: trouvé !
C:\Programme\Trend Micro\HijackThis: trouvé !
C:\Programme\Trend Micro\HijackThis\HijackThis.exe: trouvé !

#12 o.k.
es sollte wieder alles in bester Ordnung sein, bügel noch mal mit deinem Antivirenscanner im abgesicherten Modus drüber.
Wenn es noch Probleme gibt, melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hab den im abgesicherten Modus scannen lassen und er NIX gefunden und AntiVir meldet sich auch nicht mehr..... Juhuuu!!!


Ein riesengroßes Dankeschön an dich für die Mühe, das hätt ich alleine niemals hinbekommen, bin echt begeistert....

Nochmal Danke Danke Danke....

#14 Hallo

ich habe fast das gleiche problem wie der vorgänger und außerdem von tuten und blasen keine ahnung. hab mir diesen vundo.gen trojaner eingefangen.

wenn ich das jetzt richtig erkannt habe muss man für jeden rechner unterschiedliche dateien löschen oder sonst was damit machen, welhalb ich nicht genau das gleiche machen kann wie der flo.

ich hänge aber schon mal die log dateien von HJT an und außerdem von regsearch und zoek.

vielleicht kann mir ja auch jemand weiterhelfen.

vielen dank schon mal


HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:35, on 17.08.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera9\Opera.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\penner1\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: {792a0c1a-46c5-2cea-20d4-b2402ea943e3} - {3e349ae2-042b-4d02-aec2-5c64a1c0a297} - C:\WINDOWS\System32\vjigdj.dll (file missing)
O2 - BHO: (no name) - {493F974E-FEAE-459E-B770-D9262474EB97} - C:\WINDOWS\System32\qoMgdaWM.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {C1BA0A0B-AE79-4799-B95A-CC5FF0DD61AC} - C:\WINDOWS\System32\yaywxUKa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM7342ef80] Rundll32.exe "C:\WINDOWS\System32\oapjxwwl.dll",s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Opera.lnk = C:\Programme\Opera9\Opera.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O20 - Winlogon Notify: qoMgdaWM - C:\WINDOWS\SYSTEM32\qoMgdaWM.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Update Service (gupdate1c8fbfd32c6a890) (gupdate1c8fbfd32c6a890) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 5525 bytes


------------------------------------------------------------------------------------------------

regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.08.2008 14:36:02 for strings:
; 'network helper service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


UND


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 17.08.2008 14:38:05 for strings:
; 'msdisk'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


ZEOK

======C:\WINDOWS====
----a-w 50 2008-08-16 23:52:28 C:\WINDOWS\wiaservc.log
----a-w 159 2008-08-17 09:12:50 C:\WINDOWS\wiadebug.log
----a-w 644,627 2008-08-12 14:16:04 C:\WINDOWS\setupapi.log
--s-a-w 2,048 2008-08-17 09:12:22 C:\WINDOWS\bootstat.dat
----a-w 32,622 2008-08-16 23:52:30 C:\WINDOWS\SchedLgU.Txt
----a-w 0 2008-08-17 09:13:22 C:\WINDOWS\0.log
----a-w 22 2008-08-15 17:15:00 C:\WINDOWS\pskt.ini
---ha-w 54,156 2008-07-20 20:51:44 C:\WINDOWS\QTFont.qfn
----a-w 342,637 2008-08-16 19:00:24 C:\WINDOWS\wmsetup.log
----a-w 110,191 2008-08-15 01:47:38 C:\WINDOWS\BM7342ef80.xml
----a-w 1,310 2008-08-15 17:15:30 C:\WINDOWS\BM7342ef80.txt
----a-w 3,818 2008-08-15 23:21:20 C:\WINDOWS\ModemLog_SENS LT56ADW Modem.txt
----a-w 140 2008-08-13 23:10:18 C:\WINDOWS\winamp.ini
----a-w 335,296 2008-08-14 15:10:50 C:\WINDOWS\WindowsUpdate.log

Entries: 14 (12)
Directories: 0 Files: 14
Bytes: 1,527,076 Blocks: 2,990
======C:\WINDOWS\system32=====
----a-w 2,262 2008-08-17 10:42:38 C:\WINDOWS\System32\wpa.dbl
---ha-w 526 2008-08-17 09:20:12 C:\WINDOWS\System32\vsconfig.xml
----a-w 35,328 2008-08-14 14:03:06 C:\WINDOWS\System32\qoMgdaWM.dll
----a-w 35,328 2008-08-14 14:03:06 C:\WINDOWS\System32\qoMdEVpo.dll
----a-w 2,048 2008-08-14 21:13:14 C:\WINDOWS\System32\bketvknw.exe
----a-w 35,328 2008-08-14 14:03:18 C:\WINDOWS\System32\opnmJASj.dll
----a-w 35,328 2008-08-14 14:03:18 C:\WINDOWS\System32\tuvVLeBs.dll
--sha-w 473,041 2008-08-17 13:05:32 C:\WINDOWS\System32\aKUxwyay.ini
--sha-w 473,041 2008-08-17 13:04:46 C:\WINDOWS\System32\aKUxwyay.ini2
----a-w 0 2008-08-14 21:10:24 C:\WINDOWS\System32\7b521862-.txt
--sh--w 1,512,619 2008-08-15 21:17:16 C:\WINDOWS\System32\xuurcaeq.ini

Entries: 11 (7)
Directories: 0 Files: 11
Bytes: 2,604,849 Blocks: 5,090
======C:\WINDOWS\system32\drivers=====
----a-w 75,072 2008-07-17 21:51:56 C:\WINDOWS\System32\drivers\avipbb.sys
----a-w 45,376 2008-07-17 21:51:56 C:\WINDOWS\System32\drivers\avgntdd.sys

Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 120,448 Blocks: 236
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
--sha-w 805,306,368 2008-08-17 09:12:20 C:\pagefile.sys

Entries: 1 (0)
Directories: 0 Files: 1
Bytes: 805,306,368 Blocks: 1,572,864
======C:\Dokumente und Einstellungen\penner1\Anwendungsdaten======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\penner1======
---ha-w 53,248 2008-08-17 13:05:28 C:\Dokumente und Einstellungen\penner1\NTUSER.DAT.LOG
--sh--w 302 2008-08-16 20:52:02 C:\Dokumente und Einstellungen\penner1\ntuser.ini
----a-w 5,767,168 2008-08-16 22:50:16 C:\Dokumente und Einstellungen\penner1\ntuser.dat
----a-w 9,079 2008-08-15 23:21:22 C:\Dokumente und Einstellungen\penner1\hs_err_pid768.log

Entries: 4 (2)
Directories: 0 Files: 4
Bytes: 5,829,797 Blocks: 11,387
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============

#15 Hallo pfosten

1.
wende cleaner an und lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O2 - BHO: {792a0c1a-46c5-2cea-20d4-b2402ea943e3} - {3e349ae2-042b-4d02-aec2-5c64a1c0a297} - C:\WINDOWS\System32\vjigdj.dll (file missing)

O2 - BHO: (no name) - {493F974E-FEAE-459E-B770-D9262474EB97} - C:\WINDOWS\System32\qoMgdaWM.dll

O2 - BHO: (no name) - {C1BA0A0B-AE79-4799-B95A-CC5FF0DD61AC} - C:\WINDOWS\System32\yaywxUKa.dll (file missing)

O4 - HKLM\..\Run: [BM7342ef80] Rundll32.exe "C:\WINDOWS\System32\oapjxwwl.dll",s

O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab

O20 - Winlogon Notify: qoMgdaWM - C:\WINDOWS\SYSTEM32\qoMgdaWM.dll

BEISPIEL



3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\BM7342ef80.xml
C:\WINDOWS\BM7342ef80.txt
C:\WINDOWS\System32\oapjxwwl.dll
C:\WINDOWS\System32\qoMgdaWM.dll
C:\WINDOWS\System32\qoMdEVpo.dll
C:\WINDOWS\System32\bketvknw.exe
C:\WINDOWS\System32\opnmJASj.dll
C:\WINDOWS\System32\tuvVLeBs.dll
C:\WINDOWS\System32\aKUxwyay.ini
C:\WINDOWS\System32\aKUxwyay.ini2
C:\WINDOWS\System32\7b521862-.txt
C:\WINDOWS\System32\xuurcaeq.ini

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

-------------------------------

4.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report hier
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit