Home » Viren, Trojaner & Malware Forum » TR/Vundo.Gen Befall » Themenansicht

TR/Vundo.Gen Befall
#0
14.02.2009, 23:56
Tangello
...neu hier

Beiträge: 4
#1 Hallo,
hatte bisher noch keine erfahrungen mit so etwas und habe mich jetzt mal an der HijackThis.log erstellung versucht. Hoffe es reicht.

Zum Problem Antivir findet yayxyVop.dll als TR/Vundo.dll
Habe schon ne menge zu diesem Problem gelesen jedoch habe ich überall gesehen, das die HiJackThis gepostet wurden und dann etwas gemacht werden musste, dies war aber jedesmal etwas anders, deshalb bin ich mir nicht sicher und frage hier nach.
Ich habe noch Vundofix laufen lassen im abgesicherten Modus leider hat er nix gefunden. Im normalen Modus meldet antivir immer wieder diese datei zweimal versucht man zu löschen erscheinen sie wieder. Ein normales Arbeiten ist nicht möglich.

System im angesicherten Modus fahren lassen und Antivir laufen lassen 3 der Vundo Trojaner wurden entfernt aber mit anderem namen, diese hatte Antivir vorher aber nicht gemeldet. Nur der letzte kann nicht gelöscht werden, verursacht bei antivir einen Fehler.

Hier die HiJackThis hoffe ihr könnt mir helfen Vielen dank an euch...

Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 22:51:56, on 14.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
D:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdnser v.exe
C:\WINDOWS\system32\lxdncoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark 2600 Series\lxdnmon.exe
D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark 2600 Series\lxdnMsdMon.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.+++.net/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.+++.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.+++.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.+++.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.+++.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.+++.net/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O2 - BHO: (no name) - {58F634D9-AF24-4B02-842F-C3B3A25C23E0} - C:\WINDOWS\system32\yayxvVop.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Programme\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [lxdnamon] "C:\Programme\Lexmark 2600 Series\lxdnamon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res:/++/C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h++p://www.nvidia.com/content...sysreqlab2.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h++p://sdlc-esd.sun.com/ESD39...ws-i586-jc.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h++ps://secure.logmein.com/activex/RACtrl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - D:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdnse rv.exe
O23 - Service: lxdn_device - - C:\WINDOWS\system32\lxdncoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Wenn jemand helfen kann vieleicht mit genauer schrittabfolge für die gegenmaßnahme

LG Nico
Seitenanfang Seitenende
15.02.2009, 00:39
Swisstreasure
Moderator

Beiträge: 5694
#2 >>
Wende CCleaner an.

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.+++.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.+++.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: (no name) - {58F634D9-AF24-4B02-842F-C3B3A25C23E0} - C:\WINDOWS\system32\yayxvVop.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
und wähle fix checked.

Starte den Rechner neu.

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
15.02.2009, 02:20
Tangello
...neu hier

Themenstarter

Beiträge: 4
#3 Danke Swiss für deine Antwort um die späte Zeit
nach dem CCleaner waren die 02 einträge weg im HijackThis, dshalb konnte ich sie nicht fixen, nach dem neustart jedoch meldete antivir gleich wieder in der system32 yayxvVop.dll als TR/Vundo.dll.

Hier das Log von Malwarebytes:

Es wurde ausgegeben, das bestimmte Teile nicht entfernt werden konnten, jedoch konnte ich dem tutorial nicht folgen mit weitere tools da ein neustart von nöten war um zu entfernen.

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1762
Windows 5.1.2600 Service Pack 2

15.02.2009 02:00:16
mbam-log-2009-02-15 (02-00-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|M:\|)
Durchsuchte Objekte: 135205
Laufzeit: 38 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\yayxvVop.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fef0a030-7c0f-47fc-9355-d2fdaf9a91d7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayxvvop -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayxvvop -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\yayxvVop.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\poVvxyay.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\poVvxyay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{385E4EE1-11C5-4933-AB97-D95223BCE7F4}\RP150\A0089356.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Hier das Log von Combofix:

ComboFix 09-02-12.03 - Admin 2009-02-15 2:12:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1024.732 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\hasbfgmj.ini
c:\windows\Tasks\dfgmvzcq.job

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((( Dateien erstellt von 2009-01-15 bis 2009-02-15 ))))))))))))))))))))))))))))))
.

2009-02-15 01:17 . 2009-02-15 01:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-15 01:17 . 2009-02-15 01:17 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2009-02-15 01:17 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-15 01:17 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-14 21:40 . 2009-02-14 21:40 <DIR> d-------- C:\VundoFix Backups
2009-02-14 16:27 . 2009-02-14 16:27 <DIR> dr-h----- c:\dokumente und einstellungen\Admin\Anwendungsdaten\SecuROM
2009-02-14 15:39 . 2009-02-14 15:39 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Spore
2009-02-14 14:52 . 2009-02-14 14:52 <DIR> d-------- c:\programme\PopCap Games
2009-02-14 14:52 . 2009-02-14 15:47 16 --a------ c:\windows\popcinfot.dat
2009-02-14 14:52 . 2009-02-14 14:52 0 --a------ c:\windows\popcreg.dat
2009-02-03 18:19 . 2009-02-04 19:17 34 --a------ c:\windows\cdplayer.ini
2009-02-03 18:10 . 2009-02-03 19:51 <DIR> d-------- c:\programme\audiograbber
2009-02-03 18:09 . 2009-02-03 18:09 <DIR> d-------- c:\windows\uninstall\Audiograbber
2009-02-03 18:09 . 2009-02-03 18:09 <DIR> d-------- c:\windows\uninstall
2009-02-03 17:55 . 2008-06-20 18:27 19,840 --a------ c:\windows\system32\drivers\StMp3Rec.sys
2009-02-03 17:54 . 2009-02-03 17:55 <DIR> d-------- c:\programme\Philips
2009-02-03 17:54 . 2009-02-03 17:54 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\InstallShield
2009-01-31 12:11 . 2009-01-31 12:11 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HipSoft
2009-01-31 11:58 . 2009-01-31 12:10 <DIR> d-------- c:\dokumente und einstellungen\Admin\10DaysUnderTheSea
2009-01-31 10:58 . 2009-01-31 10:58 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Playrix Entertainment
2009-01-29 21:25 . 2009-01-29 21:30 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ancient Quest of Saqqarah__city
2009-01-17 19:26 . 2009-01-17 19:31 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Ancient Quest of Saqqarah__intenium
2009-01-17 17:37 . 2009-01-17 17:37 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Jane s Hotel Family Hero
2009-01-15 18:34 . 2009-01-15 18:36 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\BeachPartyCraze
2009-01-15 17:34 . 2009-01-15 17:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\blg
2009-01-15 17:34 . 2009-01-15 17:34 <DIR> d-------- c:\dokumente und einstellungen\Admin\Anwendungsdaten\blg
2009-01-15 17:28 . 2009-01-15 17:28 <DIR> d-------- c:\programme\bfgclient
2009-01-15 17:26 . 2009-01-15 17:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VirtualFarm
2009-01-15 17:26 . 2009-01-18 17:40 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-14 15:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar
2009-02-14 14:37 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-29 19:53 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Meridian93
2009-01-22 09:00 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\U3
2009-01-18 18:19 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-15 16:24 --------- d-----w c:\programme\OXXOGames
2009-01-04 19:41 --------- d-----w c:\programme\BearShare MediaBar
2009-01-04 18:52 --------- d-----w c:\programme\Google
2008-12-23 08:18 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2008-02-04 98304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"lxdnmon.exe"="c:\programme\Lexmark 2600 Series\lxdnmon.exe" [2007-12-17 660136]
"lxdnamon"="c:\programme\Lexmark 2600 Series\lxdnamon.exe" [2007-12-17 16040]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\lxdncoms.exe"=
"c:\\Programme\\Lexmark 2600 Series\\lxdnamon.exe"=
"c:\\Programme\\Lexmark 2600 Series\\frun.exe"=
"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
"c:\\Programme\\Lexmark 2600 Series\\lxdnmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnpswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdntime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnjswx.exe"=
"e:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnwbgw.exe"=
"e:\\Die Siedler - Aufbruch der Kulturen\\bin\\SADK.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7082:TCP"= 7082:TCP:SADK

R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2008-01-23 501560]
R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]
R2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdnserv.exe [2008-06-23 98984]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\n:\ntglm7x.sys --> n:\NTGLM7X.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://go.gmx.net/home
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 02:13:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-796845957-1482476501-725345543-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-796845957-1482476501-725345543-1005\Software\SecuROM\License information*]
"datasecu"=hex:ff,22,d3,37,29,16,0d,73,c5,3b,14,36,aa,f8,b8,06,93,f7,05,21,2b,
0c,30,9e,58,ad,ab,d7,68,66,0a,84,92,3c,10,29,b5,a4,fb,a6,26,59,29,bf,82,8b,\
"rkeysecu"=hex:08,d9,d3,11,88,7f,b6,2a,36,c8,1d,6f,34,a5,45,fd
.
Zeit der Fertigstellung: 2009-02-15 2:15:25
ComboFix-quarantined-files.txt 2009-02-15 01:15:15

Vor Suchlauf: 731.623.424 Bytes frei
Nach Suchlauf: 723,247,104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

150 --- E O F --- 2008-09-27 12:50:30


Dank dir fürs anschauen oder jemand anderem.
LG Nico
P.S. schaue heute früh erst, wieder brauch jetzt ein wenig schlaf nach dem ganzem stress mit diesem Problem
Seitenanfang Seitenende
15.02.2009, 11:25
Swisstreasure
Moderator

Beiträge: 5694
#4 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html


Gruss Swiss
Seitenanfang Seitenende
16.02.2009, 19:20
Tangello
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo Swiss, sorry das es erst heute kommt und Danke für deine Antwort.
Combofix wurde entfernt.
Hier das log von Antivir mit den genannten Einstellungen:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 16. Februar 2009 18:13

Es wird nach 1248499 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ALEXECKE

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 12:04:28
AVSCAN.DLL : 8.1.4.0 48897 Bytes 20.07.2008 18:32:55
LUKE.DLL : 8.1.4.5 164097 Bytes 20.07.2008 18:32:56
LUKERES.DLL : 8.1.4.0 12545 Bytes 20.07.2008 18:32:56
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:51:14
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 09:28:38
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 09:28:38
ANTIVIR3.VDF : 7.1.2.33 112640 Bytes 16.02.2009 16:54:58
Engineversion : 8.2.0.79
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 09:38:25
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 14.02.2009 09:28:42
AESCN.DLL : 8.1.1.7 127347 Bytes 14.02.2009 09:28:41
AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 14:04:10
AEPACK.DLL : 8.1.3.8 397684 Bytes 09.02.2009 17:30:54
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 12:03:40
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 09.02.2009 17:30:47
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 15:55:23
AEGEN.DLL : 8.1.1.16 332148 Bytes 14.02.2009 09:28:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 15:02:46
AECORE.DLL : 8.1.6.5 176501 Bytes 14.02.2009 09:28:39
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 15:02:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 20.07.2008 18:32:55
AVPREF.DLL : 8.0.2.0 38657 Bytes 20.07.2008 18:32:55
AVREP.DLL : 8.0.0.2 98344 Bytes 08.09.2008 09:10:29
AVREG.DLL : 8.0.0.1 33537 Bytes 20.07.2008 18:32:55
AVARKT.DLL : 1.0.0.23 307457 Bytes 07.05.2008 14:18:46
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 20.07.2008 18:32:54
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.05.2008 14:18:46
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 20.07.2008 18:32:56
NETNT.DLL : 8.0.0.1 7937 Bytes 07.05.2008 14:18:46
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 20.07.2008 18:32:47
RCTEXT.DLL : 8.0.52.0 86273 Bytes 20.07.2008 18:32:47

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, H:, M:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Auszulassende Dateien............: N:\silent.exe,
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 16. Februar 2009 18:13

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '42381' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdnmsdmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdncoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanCfgG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxdnserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Spiele>
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'H:\' <DATEN>
Beginne mit der Suche in 'M:\' <DATEN>


Ende des Suchlaufs: Montag, 16. Februar 2009 19:05
Benötigte Zeit: 52:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5134 Verzeichnisse wurden überprüft
823015 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
823014 Dateien ohne Befall
2286 Archive wurden durchsucht
5 Warnungen
0 Hinweise
42381 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Hier das log von datfindbat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C887-D554

Verzeichnis von c:\
16.02.2009 19:10 0 dirdat.txt
16.02.2009 17:51 1.610.612.736 pagefile.sys
15.02.2009 02:15 9.960 ComboFix.txt
15.02.2009 02:11 281 boot.ini
14.02.2009 22:34 159 VundoFix.txt
09.02.2009 18:49 268 sqmdata08.sqm
09.02.2009 18:49 244 sqmnoopt08.sqm
04.02.2009 19:22 268 sqmdata07.sqm
04.02.2009 19:22 244 sqmnoopt07.sqm
03.02.2009 20:15 268 sqmdata06.sqm
03.02.2009 20:15 244 sqmnoopt06.sqm
03.02.2009 18:19 268 sqmdata05.sqm
03.02.2009 18:19 244 sqmnoopt05.sqm
31.01.2009 13:20 268 sqmdata04.sqm
31.01.2009 13:20 244 sqmnoopt04.sqm
29.01.2009 20:26 268 sqmdata03.sqm
29.01.2009 20:26 244 sqmnoopt03.sqm
29.01.2009 16:50 268 sqmdata02.sqm
29.01.2009 16:50 244 sqmnoopt02.sqm
28.01.2009 20:30 268 sqmdata01.sqm
28.01.2009 20:30 244 sqmnoopt01.sqm
22.01.2009 19:57 268 sqmdata00.sqm
22.01.2009 19:57 244 sqmnoopt00.sqm
22.01.2009 09:29 268 sqmdata19.sqm
22.01.2009 09:29 244 sqmnoopt19.sqm
20.01.2009 20:48 268 sqmdata18.sqm
20.01.2009 20:48 244 sqmnoopt18.sqm
19.01.2009 19:50 268 sqmdata17.sqm
19.01.2009 19:50 244 sqmnoopt17.sqm
18.01.2009 20:13 268 sqmdata16.sqm
18.01.2009 20:13 244 sqmnoopt16.sqm
17.01.2009 20:18 268 sqmdata15.sqm
17.01.2009 20:18 244 sqmnoopt15.sqm
16.01.2009 08:30 268 sqmdata14.sqm
16.01.2009 08:30 244 sqmnoopt14.sqm
15.01.2009 19:00 268 sqmdata12.sqm
15.01.2009 19:00 244 sqmnoopt12.sqm
13.01.2009 19:13 268 sqmdata13.sqm
13.01.2009 19:13 244 sqmnoopt13.sqm
11.01.2009 18:29 268 sqmdata11.sqm
11.01.2009 18:29 244 sqmnoopt11.sqm
11.01.2009 13:44 268 sqmdata10.sqm
11.01.2009 13:44 244 sqmnoopt10.sqm
08.01.2009 20:27 268 sqmdata09.sqm
08.01.2009 20:27 244 sqmnoopt09.sqm
04.01.2009 19:53 125 ioSpecial.ini

Verzeichnis von C:\WINDOWS\system32
16.02.2009 17:52 13.646 wpa.dbl
14.02.2009 15:46 0 c3a41185-.txt
26.10.2008 11:43 401.064 perfh009.dat
26.10.2008 11:43 62.344 perfc009.dat
26.10.2008 11:43 415.470 perfh007.dat
26.10.2008 11:43 74.996 perfc007.dat
26.10.2008 11:43 966.250 PerfStringBackup.INI
16.10.2008 14:13 1.809.944 wuaueng.dll
16.10.2008 14:13 202.776 wuweb.dll
16.10.2008 14:12 323.608 wucltui.dll
16.10.2008 14:12 213.528 wuaucpl.cpl
16.10.2008 14:12 561.688 wuapi.dll
16.10.2008 14:09 92.696 cdm.dll
16.10.2008 14:09 51.224 wuauclt.exe
16.10.2008 14:09 43.544 wups2.dll
16.10.2008 14:08 34.328 wups.dll
16.10.2008 14:08 31.768 wucltui.dll.mui
16.10.2008 14:08 27.672 wuaucpl.cpl.mui
16.10.2008 14:08 27.672 wuapi.dll.mui
16.10.2008 14:07 18.968 wuaueng.dll.mui
16.10.2008 14:06 208.744 muweb.dll
16.10.2008 14:06 268.648 mucltui.dll
16.10.2008 14:06 27.496 mucltui.dll.mui
Verzeichnis von C:\WINDOWS
16.02.2009 17:57 62.429 WindowsUpdate.log
16.02.2009 17:52 159 wiadebug.log
16.02.2009 17:52 50 wiaservc.log
16.02.2009 17:52 2.048 bootstat.dat
15.02.2009 20:41 32.596 SchedLgU.Txt
15.02.2009 02:13 227 system.ini
14.02.2009 15:47 16 popcinfot.dat
14.02.2009 14:52 0 popcreg.dat
09.02.2009 18:48 116 NeroDigital.ini
04.02.2009 19:17 34 cdplayer.ini
24.08.2008 18:48 4.096 d3dx.dat

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp
16.02.2009 18:10 401.408 CF19242.exe
16.02.2009 18:06 1.053.744 VSUSetup.exe
16.02.2009 17:58 519 jusched.log
16.02.2009 17:56 4.706 REV1.tmp
16.02.2009 17:56 4.706 REV2.tmp
16.02.2009 17:54 846 lxdnscan.log
Seitenanfang Seitenende
16.02.2009, 19:27
Swisstreasure
Moderator

Beiträge: 5694
#6 Dürfte alles wieder sauber sein.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
Und mach noch einen Onlinescan mit ESET und berichte:
http://virus-protect.org/artikel/tools/eset-nod.html


Gruss Swiss
Seitenanfang Seitenende
16.02.2009, 20:43
Tangello
...neu hier

Themenstarter

Beiträge: 4
#7 Hi Swiss soweit alles gemacht, erst mal besten Dank.

Ich kann nur den Onlinescan nicht machen da ActivX steuerelemente fehelen, wenn ich diese Installieren möchte, wird die installation geblockt. Nach umstellen der Internetoptionen, also nichtsignierte herunterladen und ausführen geht es auch nicht. Ich weiß nicht ob ich da noch eine andere einstellung vornehmen muss.

LG Nico
Seitenanfang Seitenende
16.02.2009, 21:10
Swisstreasure
Moderator

Beiträge: 5694
#8 Du kannst auch andere Onlinescans nehmen:
http://virus-protect.org/onlinescan.html

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1