TR/Trash.Gen wie entfernen?

#1 Hallo erstmal!!

Also anfangs hatte ich TR/Vundo.Gen und dann habe ich Malware drüber
laufen lassen und es hat 15 infizierte Dateien entdeckt. Diese hab ich dann
von Malware löschen lassen und nach einem Neustart habe ich Malware noch
2 Mal laufen lassen und es hat nichts gefunden.

Als ich jedoch AntiVir wieder durchlaufen lassen habe hat es TR/Trash.Gen
entdeckt. Nun hab ich gelesen man soll ComboFix runterladen und anwenden.
Aber da dies nur nach Anweisung eines Profis geschehen soll hab ich es lieber
nicht gemacht weil ich davon keine Ahnung habe.

Kann mir jemand helfen?

Vielen Danke im Voraus

Mona


Hier mein Reinigungsbericht von Malware:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1733
Windows 5.1.2600 Service Pack 2

06.02.2009 13:39:26
mbam-log-2009-02-06 (13-39-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56063
Laufzeit: 2 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Und mein Bericht von Hijack:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:59, on 06.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\LANScope Agent\awServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Acer\LANScope Agent\LockKM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\LANScope Agent\awtray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\system32\svchost.exe
D:\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {656F3624-6824-457C-994D-60BF41DCD362} - C:\WINDOWS\system32\yayvTlIC.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: (no name) - {BA716E8C-EAFD-446C-9B33-786AE889FDBD} - C:\WINDOWS\system32\efcCursP.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {E92F237C-E141-4730-8468-90CFB8168431} - C:\WINDOWS\system32\xxyxwxuU.dll (file missing)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [installnet.exe] "C:\Acer\LANScope Agent\Installnet.exe" "C:\Acer\LANScope Agent\
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Product Registration.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1221661280
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1214239218
O23 - Service: Acer ODDSpeedControl - TODO: <????> - C:\Acer\Empowering Technology\eAcoustics\ODDSpeedCtl\speedcontrol.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AdminWorks Agent X6 (AWService) - OSA Technologies Inc., An Avocent Company - C:\Acer\LANScope Agent\awServ.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 11512 bytes


Ich hoffe das hilft den Profis

#2 Hallo Mona

>>
Das erste Log von Malwarebytes würde mich noch interessiere. Öffne Malwarebytes ghe zum REITER LOGS und poste den ersten Bericht hier.

>>
Download ToolbarSD zum Desktop
Nur fuer Windows XP und Vista
Doppelklick ToolBarSD.exe
Gib ein D Enter und klicke bei den Pop-Up ok
Wähle 1 Enter
Am Ende erscheint ein Log (C:\TB.txt) poste dessen inhalt im Thread

Dann:
Starte ToolbarSD nochmal
Gib ein D Enter und klicke bei den Pop-Up ok
Wähle 2 Enter
Am Ende erscheint ein Log (C:\TB.txt) poste dessen inhalt im Thread

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O2 - BHO: (no name) - {BA716E8C-EAFD-446C-9B33-786AE889FDBD} - C:\WINDOWS\system32\efcCursP.dll (file missing)

O2 - BHO: (no name) - {E92F237C-E141-4730-8468-90CFB8168431} - C:\WINDOWS\system32\xxyxwxuU.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

und wähle fix checked.

Starte den Rechner neu.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html


Gruss Swiss

#3 Erstmal danke dass du dich meines Problems annimmst..
Bin schon ziemlich verzweifelt weil wichtige Dateien auf dem PC sind...

Also hier der erste Bericht von Malware:


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1733
Windows 5.1.2600 Service Pack 2

06.02.2009 12:46:21
mbam-log-2009-02-06 (12-46-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56267
Laufzeit: 4 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\qoMFuRJc.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomfurjc (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\qoMFuRJc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.



Hier der erste Bericht von Toolbar:


-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
BIOS : Default System BIOS
USER : Sünkel ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - NTFS - Total:71 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:72 Go (Free:60 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 06.02.2009|14:14 )

-----------\\ Suche nach Dateien - Ordnern ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.de/"
"Search Page"="http://www.google.com"
"ICQ Search"="http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd"
"Search Bar"="http://www.google.com/ie"
"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.msn.com/"


--------------------\\ Suche nach anderen Infektionen

C:\WINDOWS\system32\CIlTvyay.ini
C:\WINDOWS\system32\CIlTvyay.ini2
C:\WINDOWS\system32\PsruCcfe.ini
C:\WINDOWS\system32\PsruCcfe.ini2
C:\WINDOWS\system32\Uuxwxyxx.ini
C:\WINDOWS\system32\Uuxwxyxx.ini2
==> VUNDO <==




1 - "C:\ToolBar SD\TB_1.txt" - 06.02.2009|14:08 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 06.02.2009|14:10 - Option : [2]
3 - "C:\ToolBar SD\TB_3.txt" - 06.02.2009|14:14 - Option : [1]

-----------\\ Scan beendet um 14:14:57,42



Und der zweite Bericht von Toolbar:


-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz )
BIOS : Default System BIOS
USER : Sünkel ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - NTFS - Total:71 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:72 Go (Free:60 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 06.02.2009|14:15 )

-----------\\ Suche nach Dateien - Ordnern ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.de/"
"Search Page"="http://www.google.com"
"ICQ Search"="http://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd"
"Search Bar"="http://www.google.com/ie"
"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://www.msn.com/"


--------------------\\ Suche nach anderen Infektionen

C:\WINDOWS\system32\CIlTvyay.ini
C:\WINDOWS\system32\CIlTvyay.ini2
C:\WINDOWS\system32\PsruCcfe.ini
C:\WINDOWS\system32\PsruCcfe.ini2
C:\WINDOWS\system32\Uuxwxyxx.ini
C:\WINDOWS\system32\Uuxwxyxx.ini2
==> VUNDO <==




1 - "C:\ToolBar SD\TB_1.txt" - 06.02.2009|14:08 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 06.02.2009|14:10 - Option : [2]
3 - "C:\ToolBar SD\TB_3.txt" - 06.02.2009|14:14 - Option : [1]
4 - "C:\ToolBar SD\TB_4.txt" - 06.02.2009|14:15 - Option : [2]

-----------\\ Scan beendet um 14:15:57,84


Hijack hab ich auch gemacht. Die Dateien waren noch da und ich hab sie
gelöscht.

Hier noch der Bericht von ComboFix:
ComboFix 09-02-05.02 - Sünkel 2009-02-06 14:37:05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1014.595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sünkel\Desktop\cf.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\CIlTvyay.ini
c:\windows\system32\CIlTvyay.ini2
c:\windows\system32\diblpapo.ini
c:\windows\system32\iuwribgh.ini
c:\windows\system32\jbxuywhx.ini
c:\windows\system32\kbfefqhp.ini
c:\windows\system32\lqursydw.ini
c:\windows\system32\nfmeoyjr.ini
c:\windows\system32\niqnoplj.ini
c:\windows\system32\PsruCcfe.ini
c:\windows\system32\PsruCcfe.ini2
c:\windows\system32\Uuxwxyxx.ini
c:\windows\system32\Uuxwxyxx.ini2
c:\windows\system32\x64
c:\windows\Tasks\hrzeacmv.job

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-06 bis 2009-02-06 ))))))))))))))))))))))))))))))
.

2009-02-06 14:07 . 2009-02-06 14:15 <DIR> d-------- C:\ToolBar SD
2009-02-06 14:01 . 2009-02-06 14:01 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-06 14:01 . 2009-02-06 14:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-06 12:38 . 2009-02-06 12:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-06 12:38 . 2009-02-06 12:38 <DIR> d-------- c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\Malwarebytes
2009-02-06 12:38 . 2009-02-06 12:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-06 12:38 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 12:38 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 12:12 . 2009-02-06 12:12 <DIR> d-------- c:\programme\Trend Micro
2009-02-05 16:49 . 2009-02-05 16:49 <DIR> d-------- C:\VundoFix Backups
2009-02-05 15:32 . 2009-02-05 15:57 <DIR> d-------- c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\Crossword Compiler Deutsch 8
2009-02-05 15:11 . 2009-02-05 15:11 <DIR> d-------- c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\pics
2009-02-05 15:11 . 2009-02-05 15:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\pics
2009-01-22 17:32 . 2009-01-22 17:33 <DIR> d-------- c:\windows\system32\de-de
2009-01-22 17:28 . 2008-10-16 21:04 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-01-22 17:28 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-01-22 17:28 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-01-22 17:28 . 2008-10-16 21:04 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-01-22 17:28 . 2008-10-16 21:04 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-01-22 17:28 . 2008-10-16 21:04 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-01-22 17:28 . 2008-10-16 21:04 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-01-22 17:28 . 2008-10-16 21:04 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-01-22 17:28 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-15 17:18 . 1992-07-13 01:49 82 --------- c:\windows\inst.set
2009-01-15 17:14 . 2009-01-15 17:19 <DIR> d-------- c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\MuPAD Pro
2009-01-15 17:11 . 2009-01-15 17:11 <DIR> d-------- c:\programme\SciFace
2009-01-06 17:07 . 2009-01-06 17:07 <DIR> d-------- c:\programme\Bonjour

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 11:46 --------- d-----w c:\programme\ICQToolbar
2009-02-04 16:30 --------- d-----w c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\uTorrent
2009-01-27 16:58 --------- d-----w c:\programme\Google
2009-01-18 09:44 --------- d-----w c:\dokumente und einstellungen\Sünkel\Anwendungsdaten\ICQ
2008-12-22 18:57 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-15 19:12 --------- d-----w c:\programme\Java
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-03-23 17:59 0 ----a-w c:\dokumente und einstellungen\Sünkel\SCHDLR.DAT
2008-03-23 17:59 0 ----a-w c:\dokumente und einstellungen\Sünkel\SCHDLR.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-13 68856]
"ICQ"="c:\progra~1\ICQ6\ICQ.exe" [2008-09-01 173304]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-06-24 342528]
"AdminWorks Tray"="c:\acer\LANScope Agent\awtray.exe" [2007-05-22 1459992]
"eLockMonitor"="c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe" [2006-03-31 16384]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"PE2CKFNT SE"="c:\programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 25088]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="D:\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-02 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Erinnerungen f�r Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [1999-08-06 53317]
Photo Express Calendar Checker SE.lnk - c:\programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe [2008-03-10 55296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"d:\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9999:UDP"= 9999:UDP:LANScope UDP Port
"2804:TCP"= 2804:TCP:LANScope TCP Port

R1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2007-08-27 26768]
R2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;c:\windows\system32\eLock2BurnerLockDriver.sys [2006-06-08 17664]
R2 eLock2FSCTLDriver;eLock2FSCTLDriver;c:\windows\system32\eLock2FSCTLDriver.sys [2006-06-06 90112]
R2 LockServ;LockServ;c:\acer\Empowering Technology\eLock\LockServ.exe -p --> c:\acer\Empowering Technology\eLock\LockServ.exe -p [?]
R2 netlimiter;netlimiter;c:\windows\system32\drivers\NetLimiter.sys [2006-10-03 18072]
R2 netlock;netlock;c:\windows\system32\drivers\NetLock.sys [2007-05-30 14616]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-06-12 15640]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2006-11-08 10944]
S3 Acer ODDSpeedControl;Acer ODDSpeedControl;c:\acer\Empowering Technology\eAcoustics\ODDSpeedCtl\speedcontrol.exe [2008-03-10 81920]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-03-14 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-03-14 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-03-14 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-03-14 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-04-08 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-03-14 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-03-24 97704]
.
Inhalt des "geplante Tasks" Ordners

2009-02-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{656F3624-6824-457C-994D-60BF41DCD362} - c:\windows\system32\yayvTlIC.dll
HKLM-Run-installnet.exe - c:\acer\LANScope Agent\Installnet.exe
HKLM-Run-AuditMode - c:\sysprep\factory.exe
HKLM-Run-Trojancheck 6 Guard - c:\programme\Trojancheck 6\tcguard.exe
HKLM-Run-Device Detector - DevDetect.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://de.intl.acer.yahoo.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1221661280
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1214239218
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 14:40:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\acer\LANScope Agent\awServ.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\acer\Empowering Technology\eLock\LockServ.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\acer\LANScope Agent\lockkm.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\acer\Empowering Technology\eLock\Monitor\LockMon.exe
c:\programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-06 14:42:08 - PC wurde neu gestartet [Sünkel]
ComboFix-quarantined-files.txt 2009-02-06 13:42:06

Vor Suchlauf: 20 Verzeichnis(se), 18.080.477.184 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 18,218,078,208 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

213 --- E O F --- 2009-01-23 09:32:52


Und noch eine Frage: Woher weißt du jetzt was an meinem PC ein Virus ist?
Das würde mich echt interessieren.


Muss jetzt leider los. Komme am So Nachmittag wieder und melde mich dann.


Grüße Mona

#4 Also erstens wurde hier auch Vundo gemeldet:

Zitat

C:\WINDOWS\system32\CIlTvyay.ini
C:\WINDOWS\system32\CIlTvyay.ini2
C:\WINDOWS\system32\PsruCcfe.ini
C:\WINDOWS\system32\PsruCcfe.ini2
C:\WINDOWS\system32\Uuxwxyxx.ini
C:\WINDOWS\system32\Uuxwxyxx.ini2
==> VUNDO <==

und auch Combofix hat einiges rausgelöscht. Den Rest ist Erfahrung.

>>
HAst du Vundofix benutzt?

Mach folgendes:

C:\VundoFix Backups - löschen + Papierkorb leeren

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Blacklight – Rootkit Erkennungs-und-Elimination Program
- Lade F-Secure Blacklight auf das Desktop
- Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
- Klicke "I accept the agreement", "Next", "Scan".
- wenn der Scan zu Ende ist, wähle "Close".
- Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten

poste das Log

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)

Scan --> "next none" auf "rename" ändern

Dann lass Blacklight den Rechner neu starten.

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm


Gruss Swiss

#5 Ich weiß nicht genau wo das Log war aber ich denk dass is das hier:

02/08/09 16:51:22 [Info]: BlackLight Engine 2.2.1092 initialized
02/08/09 16:51:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/08/09 16:51:22 [Note]: 7019 4
02/08/09 16:51:22 [Note]: 7005 0
02/08/09 16:51:29 [Note]: 7006 0
02/08/09 16:51:29 [Note]: 7011 1560
02/08/09 16:51:29 [Note]: 7035 0
02/08/09 16:51:29 [Note]: 7026 0
02/08/09 16:51:29 [Note]: 7026 0
02/08/09 16:51:31 [Note]: FSRAW library version 1.7.1024
02/08/09 16:57:17 [Note]: 2000 1012
02/08/09 16:57:17 [Note]: 2000 1012
02/08/09 16:57:17 [Note]: 2000 1012
02/08/09 17:01:18 [Note]: 7007 0


Gefunden hat Blacklight nichts. Hat zumindest nichts angezeigt.

Habs auch zum zweiten mal durchlaufen lasssen und es wurde nichts
gefunden. Ich starte trotzdem mal neu. Kann ja nicht schaden.


Und hier der Report von AntiVir:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 8. Februar 2009 17:15

Es wird nach 1323954 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BROKENANGEL

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 14:20:38
AVSCAN.DLL : 8.1.4.0 48897 Bytes 20.07.2008 16:18:58
LUKE.DLL : 8.1.4.5 164097 Bytes 20.07.2008 16:18:58
LUKERES.DLL : 8.1.4.0 12545 Bytes 20.07.2008 16:18:58
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:02:37
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:41:06
ANTIVIR2.VDF : 7.1.1.240 1659904 Bytes 07.02.2009 15:48:10
ANTIVIR3.VDF : 7.1.1.241 2048 Bytes 07.02.2009 15:48:11
Engineversion : 8.2.0.76
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 18:48:29
AESCRIPT.DLL : 8.1.1.43 344442 Bytes 08.02.2009 15:48:17
AESCN.DLL : 8.1.1.6 127348 Bytes 01.02.2009 18:48:25
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 09:40:01
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 18:42:28
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 08:37:56
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 04.02.2009 18:42:20
AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 08:15:23
AEGEN.DLL : 8.1.1.14 332148 Bytes 08.02.2009 15:48:15
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 16:24:34
AECORE.DLL : 8.1.6.4 176501 Bytes 02.02.2009 18:41:28
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 16:24:33
AVWINLL.DLL : 1.0.0.12 15105 Bytes 20.07.2008 16:18:58
AVPREF.DLL : 8.0.2.0 38657 Bytes 20.07.2008 16:18:58
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:14:09
AVREG.DLL : 8.0.0.1 33537 Bytes 20.07.2008 16:18:58
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 16:43:06
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 20.07.2008 16:18:58
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 16:43:06
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 20.07.2008 16:18:58
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 16:43:06
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 20.07.2008 16:18:56
RCTEXT.DLL : 8.0.52.0 86273 Bytes 20.07.2008 16:18:56

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 8. Februar 2009 17:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '69544' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lockkm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LockServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wkcalrem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LockMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'awtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSloader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SysMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'awServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '78' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Emkay>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Sünkel\Desktop\cf.exe.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C6B3A897-7848-44F6-9525-796CE62D845B}\RP145\A0036534.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C6B3A897-7848-44F6-9525-796CE62D845B}\RP145\A0036576.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C6B3A897-7848-44F6-9525-796CE62D845B}\RP146\A0036652.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C6B3A897-7848-44F6-9525-796CE62D845B}\RP146\A0036769.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <WHISKEY>


Ende des Suchlaufs: Sonntag, 8. Februar 2009 17:48
Benötigte Zeit: 33:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9388 Verzeichnisse wurden überprüft
367722 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
367715 Dateien ohne Befall
8082 Archive wurden durchsucht
2 Warnungen
5 Hinweise
69544 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Es hat 5 Sachen gefunden. Ich hab immer "löschen" geklickt. War das richtig?

Grüße Mona

#6 Ja das war richtig

Kommen noch Meldungen von Avira? Die gefunden Daten von Avira sind von Combofix und die anderen waren noch in der Systemwiederherstellung.

>>
Mach noch ein Onlinescan mit ESET und schau ob noch was gefunden wird:
http://www.virus-protect.org/artikel/tools/eset-nod.html

Gruss Swiss

#7 Also bis auf die Meldungen, die ich gelöscht habe, sind keine mehr gekommen.

ESET geht bei mir nicht, weil der PC die Internetseite blockt. Kann ich auch
Kaspersky nehmen? Oder gibts noch was anderes?

Grüße Mona

#8 Ja du kannst alle nehmen und schauen ob noch was gefunden wird

#9 Es wurde nichts mehr gefunden. Ich hab auch AntiVir nochmal durchlaufen
lassen und es hat auch nichts entdeckt. Wie kann man aber Viren in der
Zukunft vermeiden? Gibt es bessere Programme als AntiVir?

Danke für die Hilfe.

Grüße Mona

#10 Also Antivir ist sehr weit verbreitet und sicherlich en guter Schutz. Aber das ist geschmackssache. Ich z.B. habe Geld investiert und Kaspersky zugelegt und bin sehr zufrieden.
Das wichtigste ist dass man das Surfverhalten überdekt und nicht alles annimmt was man kann. Was Du auf dem System hattest war auch lediglich Malware und nichts gefährliches. Das fängt man sich noch eher ein.

Gruss Swiss

#11 Ok. Dann bin ich ja jetzt informiert

Danke nochmal für die Hilfe. Alleine hätte ich das nie geschafft.

Grüße Mona