Habe den Troyaner Vundo.Gen, kriege ihn nicht gelöscht

#0
02.02.2009, 10:08
Member

Beiträge: 26
#1 Hallo,
wie viele hier habe ich auch den Trojaner Vundo.Gen und kriege ihn nicht gelöscht, kann mir bitte einer helfen.

Ich poste mal den Hijackthis Logfile

Logfile of HijackThis v1.99.1
Scan saved at 09:56:23, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Downloads\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Send to Mindjet MindManager - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225284232671
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCC6FC5-EDC7-4886-ADFF-AE2C164F539A}: NameServer = 192.168.0.234
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Seitenanfang Seitenende
02.02.2009, 10:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Entferne Hijack This 1.99.1 und……..

Download: Trend Micro Hijack This™
Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 15:49
Member

Themenstarter

Beiträge: 26
#3 Hier der Hijackthis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:13, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Send to Mindjet MindManager - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225284232671
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCC6FC5-EDC7-4886-ADFF-AE2C164F539A}: NameServer = 192.168.0.234
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5902 bytes
Seitenanfang Seitenende
02.02.2009, 16:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Klicke Fixed checked

Gibt es auch ein log von Antvir?
Entferne im txt file die Seriennummer !
__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 16:20
Member

Themenstarter

Beiträge: 26
#5 Habe bei Hijackthis das gemacht und hier noch der Antivir Logfile
Soll ich Hijackthis auch nochmal posten?


Premium Security Suite
Erstellungsdatum der Reportdatei: Sonntag, 1. Februar 2009 19:39

Es wird nach 1295221 Virenstämmen gesucht.

Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM


Versionsinformationen:
BUILD.DAT : 8.2.0.252 27422 Bytes 21.11.2008 10:12:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 22.01.2009 14:59:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.01.2009 14:59:17
LUKE.DLL : 8.1.4.5 164097 Bytes 22.01.2009 14:59:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.01.2009 14:59:17
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:59:18
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 14:59:19
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 16:24:31
ANTIVIR3.VDF : 7.1.1.197 324608 Bytes 28.01.2009 19:51:00
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 22.01.2009 14:59:19
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 27.01.2009 16:24:34
AESCN.DLL : 8.1.1.5 123251 Bytes 22.01.2009 14:59:19
AERDL.DLL : 8.1.1.3 438645 Bytes 22.01.2009 14:59:19
AEPACK.DLL : 8.1.3.5 393588 Bytes 22.01.2009 14:59:19
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.01.2009 14:59:19
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 27.01.2009 16:24:33
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.01.2009 14:59:19
AEGEN.DLL : 8.1.1.10 323957 Bytes 22.01.2009 14:59:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 22.01.2009 14:59:19
AECORE.DLL : 8.1.5.2 172405 Bytes 22.01.2009 14:59:19
AEBB.DLL : 8.1.0.3 53618 Bytes 22.01.2009 14:59:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.01.2009 14:59:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.01.2009 14:59:17
AVREP.DLL : 8.0.0.2 98344 Bytes 22.01.2009 14:59:19
AVREG.DLL : 8.0.0.1 33537 Bytes 22.01.2009 14:59:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.01.2009 14:59:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.01.2009 14:59:18
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 22.01.2009 14:59:14
RCTEXT.DLL : 8.0.46.0 90369 Bytes 22.01.2009 14:59:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\avira premium security suite\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: löschen
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Sonntag, 1. Februar 2009 19:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MmReminderService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HdThemeEnabler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System und Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Temp\tmp84.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Temp\tmp85.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\tempo-2991406.tmp
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f2f274.qua' verschoben!
Beginne mit der Suche in 'F:\' <Daten>


Ende des Suchlaufs: Sonntag, 1. Februar 2009 20:15
Benötigte Zeit: 35:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5937 Verzeichnisse wurden überprüft
291235 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
291230 Dateien ohne Befall
2393 Archive wurden durchsucht
4 Warnungen
3 Hinweise
Seitenanfang Seitenende
02.02.2009, 16:24
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 CleanUP (by stevengould.org)
Nicht fuer Windows Vista
Anleitung: http://www.virus-protect.org/cleanup.html
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Starte dein Rechner neu

MalwareBytes' Anti-Malware
Download MalwareBytes' Anti-Malware
Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 16:40
Member

Themenstarter

Beiträge: 26
#7 CleanUp habe ich gemacht, und jetzt will ich MalwareBytes' Anti-Malware machen, und das Aktualisieren aber es wird gesagt das ich angeblich keine Internetverfügung habe. Das ist mir bei Antivir schon aufgefallen, das wenn ich ein Update machen will die Internetleitung blockiert wird.

Hier der MBAM Logfile

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1715
Windows 5.1.2600 Service Pack 3

02.02.2009 16:44:57
mbam-log-2009-02-02 (16-44-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58211
Laufzeit: 2 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\autorun.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-3-6-33-100027121-100001049-100006220-6027.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gaopdxakvsciyd.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxaqeoaqrp.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxdixmnauf.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\gaopdxiqxodqql.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Was ich noch sagen wollte. Durch den Trojaner kann ich nicht einfach auf dei Festplatten zugreifen. Wenn ich über Arbeitsplatz versuche auf meine F Partition zuzugreifen wird es geblockt und es klappt nicht. Auf C komme ich jetzt schon wieder, aber vorher ging es auch nicht. Vieleicht hilft das ja noch ein bisschen.
Dieser Beitrag wurde am 02.02.2009 um 17:01 Uhr von ttmeister5 editiert.
Seitenanfang Seitenende
02.02.2009, 17:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Wenn coolplay auch unter Software steht bitte enfernen
Hast du in letzter Zeit ein USB-stick benutzt?
__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 17:58
Member

Themenstarter

Beiträge: 26
#9 Ja habe ich, habe auch den Verdacht das der ebenfalls befallen ist.
coolplay ist nicht bei Software.
Seitenanfang Seitenende
02.02.2009, 18:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Download RAV.zip(Anhang) und entpacke es und Doppelklick rav.exe
Stelle die Sprache auf English ein und scanne dein Rechner mit den USB-stick eingestöpselt

wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Und Berichte

Anhang: rav.zip

__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 21:22
Member

Themenstarter

Beiträge: 26
#11 Habe heute nochmal mit Avira gescannt und hier der Bericht.
Das andere füge ich gleich hinzu



Premium Security Suite
Erstellungsdatum der Reportdatei: Montag, 2. Februar 2009 18:14

Es wird nach 1295221 Virenstämmen gesucht.


Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM


Versionsinformationen:
BUILD.DAT : 8.2.0.252 27422 Bytes 21.11.2008 10:12:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 22.01.2009 14:59:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.01.2009 14:59:17
LUKE.DLL : 8.1.4.5 164097 Bytes 22.01.2009 14:59:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.01.2009 14:59:17
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:59:18
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 14:59:19
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 16:24:31
ANTIVIR3.VDF : 7.1.1.197 324608 Bytes 28.01.2009 19:51:00
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 22.01.2009 14:59:19
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 27.01.2009 16:24:34
AESCN.DLL : 8.1.1.5 123251 Bytes 22.01.2009 14:59:19
AERDL.DLL : 8.1.1.3 438645 Bytes 22.01.2009 14:59:19
AEPACK.DLL : 8.1.3.5 393588 Bytes 22.01.2009 14:59:19
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.01.2009 14:59:19
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 27.01.2009 16:24:33
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.01.2009 14:59:19
AEGEN.DLL : 8.1.1.10 323957 Bytes 22.01.2009 14:59:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 22.01.2009 14:59:19
AECORE.DLL : 8.1.5.2 172405 Bytes 22.01.2009 14:59:19
AEBB.DLL : 8.1.0.3 53618 Bytes 22.01.2009 14:59:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.01.2009 14:59:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.01.2009 14:59:17
AVREP.DLL : 8.0.0.2 98344 Bytes 22.01.2009 14:59:19
AVREG.DLL : 8.0.0.1 33537 Bytes 22.01.2009 14:59:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.01.2009 14:59:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.01.2009 14:59:18
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 22.01.2009 14:59:14
RCTEXT.DLL : 8.0.46.0 90369 Bytes 22.01.2009 14:59:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\avira premium security suite\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: löschen
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Montag, 2. Februar 2009 18:14

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System und Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Temp\tmp41.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Temp\tmp42.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.DY.1
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'F:\' <Daten>


Ende des Suchlaufs: Montag, 2. Februar 2009 18:45
Benötigte Zeit: 30:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5788 Verzeichnisse wurden überprüft
281052 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
281048 Dateien ohne Befall
2357 Archive wurden durchsucht
2 Warnungen
2 Hinweise

Hier jetzt nochmal ein neues Hijackthis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:57, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Lord_of_Design\Desktop\rav.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Send to Mindjet MindManager - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225284232671
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BCC6FC5-EDC7-4886-ADFF-AE2C164F539A}: NameServer = 192.168.0.234
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5823 bytes


Das andere habe ich gemacht. Die rav.exe hatte ich leider zu schnell geöffnet als ich den USB Stick noch nicht drin hatte, und da hatte er was gefunden. Als ich das dann nochmal gestartet hatte als der USB Stick drin war, hat er nur noch angezeigt das der Rechner clean ist. Flash_Disinfector hat nur fertig angezeigt nachdem ich es gestartet hatte.
Dieser Beitrag wurde am 02.02.2009 um 21:42 Uhr von ttmeister5 editiert.
Seitenanfang Seitenende
02.02.2009, 21:51
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen

Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus
Seitenanfang Seitenende
02.02.2009, 22:16
Member

Themenstarter

Beiträge: 26
#13 Hier der Combofix bericht

ComboFix 09-02-02.03 - Lord_of_Design 2009-02-02 22:12:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2047.1638 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lord_of_Design\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lord_of_Design\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
FW: Avira Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\gaopdxserv.sys
f:\recycler\S-3-6-33-100027121-100001049-100006220-6027.com
f:\recycler\S-5-5-43-100023887-100021469-100008304-5650.com
f:\recycler\S-9-9-66-100015747-100024859-100030925-3643.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

2009-02-02 21:26 . 2009-02-02 21:26 172 --a------ C:\curr_ver.tmp
2009-02-02 18:00 . 2009-02-02 18:12 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-02 16:28 . 2009-02-02 16:28 <DIR> d-------- c:\programme\CleanUp!
2009-02-02 16:27 . 2009-02-02 16:27 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-02 16:27 . 2009-02-02 16:27 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Malwarebytes
2009-02-02 16:27 . 2009-02-02 16:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 16:27 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-02 16:27 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-02 15:47 . 2009-02-02 21:37 <DIR> d-------- c:\programme\Hijack This
2009-02-01 19:44 . 2009-02-01 19:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\The Skins Factory
2009-02-01 12:49 . 2009-02-02 16:36 4 --a------ c:\windows\system32\gaopdxcounter
2009-01-31 20:29 . 2009-01-31 20:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mindjet
2009-01-31 20:28 . 2009-01-31 20:28 <DIR> d-------- c:\programme\Mindjet
2009-01-24 20:56 . 2009-01-24 20:56 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\CyberLink
2009-01-24 19:19 . 2009-01-24 19:19 <DIR> d-------- c:\programme\vso
2009-01-24 19:19 . 2009-01-24 20:55 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Vso
2009-01-24 19:19 . 2009-01-24 19:19 87,608 --a------ c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\ezpinst.exe
2009-01-24 19:19 . 2009-01-24 19:19 47,360 --a------ c:\windows\system32\drivers\pcouffin.sys
2009-01-24 19:19 . 2009-01-24 19:19 47,360 --a------ c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\pcouffin.sys
2009-01-22 15:54 . 2009-01-22 15:54 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Avira
2009-01-22 15:49 . 2009-01-22 15:59 71,592 --a------ c:\windows\system32\drivers\avfwot.sys
2009-01-22 15:49 . 2009-01-22 15:59 71,464 --a------ c:\windows\system32\drivers\avfwim.sys
2009-01-20 20:55 . 2009-01-27 16:30 <DIR> d-------- c:\programme\ICQ6Toolbar
2009-01-20 20:55 . 2009-01-21 21:20 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\ICQ
2009-01-20 20:55 . 2009-01-20 20:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-01-18 18:10 . 2009-01-18 18:35 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\vlc
2009-01-18 18:01 . 2009-01-18 18:01 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Philips
2009-01-18 18:00 . 2002-10-24 11:57 2,244,608 --a------ c:\windows\system32\Platform4AxcPlayer.ocx
2009-01-18 14:48 . 2009-02-02 17:58 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-01-17 18:00 . 2009-01-17 18:08 <DIR> d-------- c:\programme\Winamp
2009-01-17 17:06 . 2009-01-17 17:06 <DIR> d-------- c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Skinux
2009-01-16 16:35 . 2009-02-02 09:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-02 08:30 --------- d-----w c:\programme\CCleaner
2009-01-28 06:29 --------- d-----w c:\programme\PokerStars.NET
2009-01-22 14:49 --------- d-----w c:\programme\Avira
2009-01-22 14:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-20 19:55 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-16 13:34 --------- d-----w c:\programme\DivX
2008-12-27 16:37 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-27 16:37 --------- d-----w c:\programme\Java
2008-12-27 13:00 --------- d-----w c:\programme\Lokando LE
2008-12-27 12:31 --------- d-----w c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\GARMIN
2008-12-25 17:48 --------- d-----w c:\programme\Wilbur
2008-12-20 19:03 --------- d-----w c:\programme\FLV Player
2008-12-19 13:33 --------- d-----w c:\programme\Infogrames
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll
2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-11-06 16:37 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-06 16:37 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-06 16:35 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-06 16:35 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-11-06 16:33 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-11-06 16:33 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-11-06 16:33 684,032 ----a-w c:\windows\system32\DivX.dll
2008-11-06 16:33 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-12-25 13:50 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-25 13:50 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-25 13:50 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-25 13:50 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-25 13:50 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FE6A929-59D1-4763-91AD-29B61CFFB35B}]
2008-11-14 03:35 70944 --a------ c:\programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2006-11-21 35328]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2009-01-22 266497]
"MMReminderService"="c:\programme\Mindjet\MindManager 8\MMReminderService.exe" [2008-11-14 37656]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2004-08-25 28672]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Hyperdesk_uninst0.lnk - c:\dokumente und einstellungen\All Users\Anwendungsdaten\The Skins Factory\Hyperdesk\HyperdeskEngine.exe [2009-02-01 1273856]

c:\dokumente und einstellungen\Familie\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2004-08-25 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"80:TCP"= 80:TCP:EM4
"58282:TCP"= 58282:TCP:EM4
"12345:UDP"= 12345:UDP:EM4
"54321:UDP"= 54321:UDP:EM4
"54321:TCP"= 54321:TCP:EM4

R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [2009-01-22 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2009-01-22 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-01-22 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [2009-01-22 258305]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2009-01-22 41217]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [2009-01-22 71464]
S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe --> c:\programme\ICQ6Toolbar\ICQ Service.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{597b32dc-ea43-11dd-8877-00112fe82bac}]
\Shell\AutoRun\command - g:\portable\PStart.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
LSP: avsda.dll
TCP: {9BCC6FC5-EDC7-4886-ADFF-AE2C164F539A} = 192.168.0.234
FF - ProfilePath - c:\dokumente und einstellungen\Lord_of_Design\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 22:13:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(712)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2009-02-02 22:15:11
ComboFix-quarantined-files.txt 2009-02-02 21:15:09

Vor Suchlauf: 12 Verzeichnis(se), 26.116.726.784 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 26,112,495,616 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

180
Seitenanfang Seitenende
02.02.2009, 23:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Entschuldige die verspaetung,auch hier gibt es zumweilen Probleme mit Rechner

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Folder::
c:\windows\system32\gaopdxcounter
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
03.02.2009, 12:07
Member

Themenstarter

Beiträge: 26
#15 Habe das gemacht, und wenn ich das auf Combofix ziehen will sagt der mir 32788R22FWJFW\prep.com konnte nicht gefunden werden und hört damit auf. Da passiert nichts weiter so das ich keinen Bericht posten kann.
Seitenanfang Seitenende