Virtumonde entfernen!

#1 Hey,

hab mir gestern den Virtumonde Virus eingefangen. Bekanntlich helfen da normale Antivirus Programme nichts und es wäre nett wenn mir da jemand spezifisch helfen könnte!
Es öffnen sich störende IE Popups, teilweise auch bei Firefox und der PC is ziemlich langsam!
System: Windows XP!

Hier das HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:23, on 01.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WZShutdown\P_zero.exe
C:\Programme\ICQLite\ICQLite.exe
I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe
C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
I:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\Drivers\bwcsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"
O4 - HKLM\..\Run: [hwodncvtlh] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\hferzchgcu.dll" EntryPoint
O4 - HKLM\..\Run: [avgnt] "I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM4f18ff9f] Rundll32.exe "C:\WINDOWS\system32\evmftiht.dll",s
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools\daemon.exe"
O4 - HKCU\..\Run: [Eaob] "C:\PROGRA~1\FNTS~1\rundll.exe" -vt ndrv
O4 - HKCU\..\Run: [Qlay] C:\Programme\?icrosoft.NET\w?auboot.exe
O4 - HKCU\..\Run: [DesktopX] "C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe"
O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: MLB.TV NexDef Plug-in.lnk = C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Programme\Poker.com\poker.exe (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.2.76.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F18FFF5-85B9-4378-A1B4-06743830EC70} (WAPUploaderAX Class) - http://www.web-a-photo.com/WebaphotoUploaderXP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2876dbca90b864336a18/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153258065248
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153258056108
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - I:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\System32\Drivers\bwcsrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 9467 bytes

#2 TheNick


>>
Lass folgende Datei bei www.virustotal.com/de prüfen:
C:\WINDOWS\System32\Drivers\bwcsrv.exe


>>
cleaner anwenden
http://www.virus-protect.org/ccleaner.html

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat

O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"

O4 - HKLM\..\Run: [hwodncvtlh] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\hferzchgcu.dll" EntryPoint

O4 - HKLM\..\Run: [BM4f18ff9f] Rundll32.exe "C:\WINDOWS\system32\evmftiht.dll",s

O4 - HKCU\..\Run: [Eaob] "C:\PROGRA~1\FNTS~1\rundll.exe" -vt ndrv

O4 - HKCU\..\Run: [Qlay] C:\Programme\?icrosoft.NET\w?auboot.exe

O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\Niki\LOKALE~1\Temp\prun.exe"

O4 - Global Startup: MLB.TV NexDef Plug-in.lnk = C:\Programme\Autobahn\mlb-nexdef-autobahn.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

und wähle fix checked.

>>
Scanne mit Malwarebytes und lösche was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#3 bwcsrv.exe is virenfrei! Scheint ne Datei von ner alten W-Lan Karte zu sein!

Cleaner angewendet!

Hijackthis Einträge entfernt! (bis auf O4 - Global Startup: MLB.TV NexDef Plug-in.lnk = C:\Programme\Autobahn\mlb-nexdef-autobahn.exe. Das is ne Datei die für MLB.TV benötigt wird)

Malwarebytes Log:


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 2

01.10.2008 18:11:42
mbam-log-2008-10-01 (18-11-42).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48354
Laufzeit: 23 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\AntiSpywareMaster (Rogue.AntiSpywareMaster) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\BM4f18ff9f.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM4f18ff9f.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


------------------------------------------------------------------------

Combofix Log:

ComboFix 08-09-30.03 - Niki 2008-10-01 18:14:50.5 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Niki\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Niki\Lokale Einstellungen\TempNER8D7B4823.exe
C:\Dokumente und Einstellungen\Niki\Lokale Einstellungen\TempNERA59718BE.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\system32\MSINET.oca

----- BITS: Eventuell infizierte Webseiten -----

hxxp://updates.swarmcast.net
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Legacy_MCHINJDRV
-------\Service_Boonty Games
-------\Service_WinDriver


((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 ))))))))))))))))))))))))))))))
.

2008-09-30 06:28 . 2008-09-30 06:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2008-09-30 05:19 . 2008-09-30 05:19 <DIR> d-------- C:\Programme\Trend Micro
2008-09-30 04:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-30 04:40 . 2008-09-30 04:40 <DIR> d-------- C:\VundoFix Backups
2008-09-30 04:25 . 2008-09-30 04:38 <DIR> d-------- C:\Programme\Enigma Software Group
2008-09-30 02:01 . 2008-09-30 02:01 123,904 --a------ C:\WINDOWS\system32\faoamoim.dll
2008-09-30 01:55 . 2008-09-30 02:45 <DIR> d--hs---- C:\WINDOWS\TmlraQ
2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\wc1
2008-09-30 01:55 . 2008-09-30 02:45 <DIR> d-------- C:\WINDOWS\system32\psc
2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\ontz
2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\WINDOWS\system32\EV19
2008-09-30 01:55 . 2008-09-30 01:55 <DIR> d-------- C:\Temp\xp34
2008-09-30 01:55 . 2008-09-30 01:55 71,824 --a------ C:\WINDOWS\system32\sjtqdbwszhkb.exe
2008-09-22 12:23 . 2008-09-22 12:23 167,936 --a------ C:\WINDOWS\system32\hferzchgcu.dll
2008-09-09 19:52 . 2008-09-09 19:52 <DIR> d-------- C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP
2008-09-03 05:56 . 2008-09-03 05:56 <DIR> d-------- C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Teeworlds

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-30 04:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-30 04:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 02:48 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-09-30 01:58 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-30 00:29 --------- d-----w C:\Programme\Lavasoft
2008-09-30 00:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 00:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-28 22:45 --------- d--h--w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Move Networks
2008-09-24 17:12 --------- d-s---w C:\Programme\HLSW
2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 21:26 --------- d-----w C:\Programme\Gamers.IRC
2008-08-08 17:53 --------- d-----w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft Games
2008-08-05 14:31 --------- d-----w C:\Programme\eMule
2008-07-11 16:42 43,520 -c--a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-24 19:41 24,760 -c--a-w C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-29 15:58 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-14 482760]
"DesktopX"="C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" [2004-02-24 541184]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 270336]
"WZShutdown"="C:\WZShutdown\P_zero.exe" [2008-03-01 276480]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 3144800]
"avgnt"="I:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 282624]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 C:\WINDOWS\LOGI_MWX.EXE]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\System32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 23:34 24576 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\FlashGet\\FlashGet.exe"=
"C:\\Programme\\PPMate\\ppmate.exe"=
"C:\\Programme\\PPMate\\ppamnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 156800]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 5248]
R1 BUFADPT;BUFADPT;C:\WINDOWS\System32\BUFADPT.SYS [2005-07-06 9600]
R1 NPPTNT;NPPTNT;C:\WINDOWS\System32\npptNT.sys [2003-07-22 4608]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2004-11-15 120320]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S1 Bwcdrv;Bwcdrv;C:\WINDOWS\System32\Bwcdrv.sys [ ]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys [ ]
S3 Cap7134;Cinergy 400 TV Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-02-12 419584]
S3 CBBCM43;BUFFALO WLI-CB-XXX Series Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\bcmwl5.sys [2005-07-11 372480]
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys [ ]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 13532]
S3 SysInteg10992;SysInteg10992;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 9984]
S3 SysInteg30644;SysInteg30644;C:\WINDOWS\system32\drivers\SysInteg010.sys [2008-03-24 9984]
S3 TTTvTune;Cinergy 400 TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTvTune.sys [2002-02-12 16128]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff6b9f2d-f9c9-11db-8e55-00301bb37705}]
\Shell\AutoRun\command - H:\Autorun.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\gaeoitrz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.verplano.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 18:22:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
I:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\BWCSRV.EXE
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Autobahn\mlb-nexdef-autobahn.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 18:26:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-01 16:26:08
ComboFix2.txt 2008-06-30 19:47:10

Vor Suchlauf: 109.920.256 Bytes frei
Nach Suchlauf: 67,747,840 Bytes frei

167

#4 TheNick


Lass folgende Dateien bei Virustotal prüfen:

C:\WINDOWS\system32\faoamoim.dll
C:\WINDOWS\system32\sjtqdbwszhkb.exe
C:\DOKUME~1\Niki\LOKALE~1\Temp\bDMusicb.sys (evtl Rootkit)
C:\DOKUME~1\Niki\LOKALE~1\Temp\PCD65X2.sys


>>
Hast du hier ein JOKE Programm auf einem USB Stick welches Dir bekannt ist?

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f56ade-1ea4-11dd-b3e2-000854ac9316}]
\Shell\AutoRun\command - J:\ClickMe.exe

>>
Wende sdfix im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

>>
Erstelle ein Log mittels DATFINDBAT:
http://virus-protect.org/datfindbat.html

>>
JAVA Update:
Download http://java.sun.com/javase/downloads/index.jsp
Scrolle runter nach ---->Java Runtime Environment (JRE) 6 Update 7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u7-windows-i586-p.exe ” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu startenInstalliere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe

Gruss Swiss


Für mich:

Zitat

Folders to delete:
C:\Programme\Enigma Software Group
C:\WINDOWS\TmlraQ
C:\WINDOWS\system32\wc1
C:\WINDOWS\system32\psc
C:\WINDOWS\system32\ontz
C:\WINDOWS\system32\EV19
C:\Temp\xp34

Files to delete:
C:\WINDOWS\system32\faoamoim.dll
C:\WINDOWS\system32\sjtqdbwszhkb.exe
C:\WINDOWS\system32\hferzchgcu.dll
C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP

#5 C:\WINDOWS\system32\faoamoim.dll -> Virtumonde
C:\WINDOWS\system32\sjtqdbwszhkb.exe -> Cloaked Malware

Die anderen 2 Dateien sind nich mehr da!

Hab kein Laufwerk J und die Datei is mir auch nich bekannt. Is also unwichtig und kann wohl gelöscht werden.


SDFix:

SDFix: Version 1.230
Run by Niki on 01.10.2008 at 19:08

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Niki\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 19:18:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:3111cb74
"s2"=dword:6473f0ab
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:da,21,7b,30,6d,b2,4a,4c,56,5c,f8,7b,9d,d5,f9,fd,90,60,ac,88,37,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:ff,95,91,c4,6e,50,ac,42,e6,6d,b5,16,5c,d3,21,d4,a4,0d,7d,6b,3a,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:4d,37,2e,de,0b,82,c6,7c,86,05,d8,6b,6e,f5,b9,f5,f4,69,e3,e3,ec,..
"a0"=hex:20,01,00,00,ae,64,95,fc,47,a9,09,8e,5a,70,83,49,8e,6e,e2,7a,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:f6,59,bb,ed,7d,37,25,e1,d6,72,cd,f4,cc,6c,44,b8,1c,b6,19,97,2c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:33,01,0e,dd,95,b0,8e,7a,81,df,10,7c,01,07,cf,65,7a,b6,ad,67,d4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:2b,8b,6f,37,bd,ca,07,05,8a,a1,a1,4f,28,9a,ea,46,f6,b0,58,07,a8,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cd,e1,18,c3,8a,5c,fb,1e,15,30,71,bb,9b,15,15,dd,33,..
"khjeh"=hex:95,80,17,b7,3e,dc,56,eb,3e,8c,65,65,99,b9,d2,c8,70,2c,93,b3,b9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8b,1a,9e,d4,ae,07,45,90,8d,4b,79,53,24,86,c5,27,4c,09,a5,65,60,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:da,21,7b,30,6d,b2,4a,4c,56,5c,f8,7b,9d,d5,f9,fd,90,60,ac,88,37,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:ff,95,91,c4,6e,50,ac,42,e6,6d,b5,16,5c,d3,21,d4,a4,0d,7d,6b,3a,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:4d,37,2e,de,0b,82,c6,7c,86,05,d8,6b,6e,f5,b9,f5,f4,69,e3,e3,ec,..
"a0"=hex:20,01,00,00,ae,64,95,fc,47,a9,09,8e,5a,70,83,49,8e,6e,e2,7a,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:f6,59,bb,ed,7d,37,25,e1,d6,72,cd,f4,cc,6c,44,b8,1c,b6,19,97,2c,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\FlashGet\\FlashGet.exe"="C:\\Programme\\FlashGet\\FlashGet.exe:*:Enabled:Flashget"
"C:\\Programme\\PPMate\\ppmate.exe"="C:\\Programme\\PPMate\\ppmate.exe:*:EnabledPMate"
"C:\\Programme\\PPMate\\ppamnet.exe"="C:\\Programme\\PPMate\\ppamnet.exe:*:EnabledPMate"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\is-GJGAE.tmp"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Sun 20 Feb 2005 22,528 A..H. --- "C:\WINDOWS\system32\cleaner12.exe"
Wed 30 Jun 2004 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!

Dafindbot:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 4C2B-CCAC

Verzeichnis von c:\

01.10.2008 19:24 0 dirdat.txt
01.10.2008 19:15 1.073.741.824 pagefile.sys
01.10.2008 18:26 10.338 ComboFix.txt
30.09.2008 19:45 7.393 moduleName.txt
30.09.2008 04:40 1.026 VundoFix.txt
30.09.2008 02:48 2.157 aaw7boot.log
28.05.2008 01:32 108.356 test.log
06.10.2007 18:16 2.608 crashAddress.txt
10.09.2007 23:22 19.327 SDSSetup.log
21.08.2007 23:27 211 boot.ini
21.08.2007 23:16 47.564 NTDETECT.COM
21.08.2007 23:16 251.184 ntldr
01.08.2007 13:47 0 out.avi
23.03.2007 17:34 1.470 debugInstaller.txt
25.11.2004 17:20 183 LogiSetup.log
02.10.2004 15:02 0 winspec.dat
02.10.2004 14:52 2 x.cab
23.07.2004 16:10 22 BIOSSTR.INI
10.07.2004 21:42 3 TCPCheckResult.txt
29.06.2004 10:13 0 IO.SYS
29.06.2004 10:13 0 AUTOEXEC.BAT
29.06.2004 10:13 0 CONFIG.SYS
29.06.2004 10:13 0 MSDOS.SYS
18.08.2001 14:00 4.952 bootfont.bin
24 Datei(en) 1.074.198.620 Bytes
0 Verzeichnis(se), 12.566.528 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 4C2B-CCAC

Verzeichnis von C:\WINDOWS\system32

30.09.2008 02:01 123.904 faoamoim.dll
30.09.2008 02:01 0 4708087d-.txt
30.09.2008 01:55 71.824 sjtqdbwszhkb.exe
27.09.2008 18:11 2.278 wpa.dbl
22.09.2008 12:23 167.936 hferzchgcu.dll
18.07.2008 17:19 9 srss.dat
11.07.2008 18:42 43.520 CmdLineExt03.dll
30.06.2008 20:39 1.426.728 FNTCACHE.DAT
16.05.2008 11:58 12.632 lsdelete.exe
02.04.2008 03:51 408.686 perfh007.dat
02.04.2008 03:51 60.112 perfc009.dat
02.04.2008 03:51 394.778 perfh009.dat
02.04.2008 03:51 72.512 perfc007.dat
02.04.2008 03:51 947.974 PerfStringBackup.INI
02.04.2008 03:51 16.832 amcompat.tlb
02.04.2008 03:51 23.392 nscompat.tlb
02.03.2008 02:43 308 results.txt
21.01.2008 01:35 2.019 sdbackup.reg
17.01.2008 17:22 33.217 LVCOMSX.LOG
13.01.2008 21:29 107.888 CmdLineExt.dll


Neue Java-Version installier!

#6 TheNick

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Folders to delete:
C:\Programme\Enigma Software Group
C:\WINDOWS\TmlraQ
C:\WINDOWS\system32\wc1
C:\WINDOWS\system32\psc
C:\WINDOWS\system32\ontz
C:\WINDOWS\system32\EV19
C:\Temp\xp34

Files to delete:
C:\WINDOWS\system32\faoamoim.dll
C:\WINDOWS\system32\sjtqdbwszhkb.exe
C:\WINDOWS\system32\hferzchgcu.dll
C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP
C:\WINDOWS\system32\4708087d-.txt

- setze ein Häkchen in: "Automatically disable any rootkits found"
- Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt.
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
- Klicke: Execute
- bestätige, dass der Rechner neu gestartet wird - klicke "yes"


>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Nach dem Scann die Heuristik auf "mittel" zurückdrehen

Gruss Swiss

#7 Ok,alles erledigt.

Antivir hat nichts mehr gefunden! Denke das Problem sollte behoben sein!

Vielen Dank für die schnelle und kompetente Hilfe!

#8 Mache noch folgendes
Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet

Jetzt werden Reste von Tools die früher mal benutzt wurden,entfernt
__________
MfG Argus