Malware gefunden - Vundo.Gen infiziert

#1 Hallo mein Rechner hats wohl auch erwischt:

Bekomme die Meldung das ich den Virus TR/Vundo.Gen in der datei c:\windows\system32\urqQjjiH.dll habe..

hier der hijack scan:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:27:17, on 23.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gericom.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [CardReaderReset] C:\Programme\Realtek Semiconductor Corp\Card Reader Software\Reset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [Startup Manager] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Systweak\ASO 2\smstartUp manager.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunCasino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.at/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://www.webmail.hydro.com/iNotes6W.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131805142218
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/14/defaults/activex/IPSUploader.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://www.webmail.hydro.com/dwa7W.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 9990 bytes



DANKE für Hilfe

#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

Klicke Fixed checked

MalwareBytes' Anti-Malware
Platform: Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download MalwareBytes' Anti-Malware

Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”>> "Quick-scan durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 Hi Argus,

vielen Dank, schaut super aus!!!!!

Hier der Scanbericht!

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1795
Windows 5.1.2600 Service Pack 3

23.02.2009 12:56:45
mbam-log-2009-02-23 (12-56-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 70676
Laufzeit: 11 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\urqQjjiH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fccaXRLC.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{67628160-da18-419b-b864-9796ffc8e89b} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\rxresult.rxresultfilter (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\rxresult.rxresultfilter.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccaxrlc (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Error Safe Free (Rogue.Errorsafe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RX ToolBar (Adware.RXToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Startup Manager (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqqjjih -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqqjjih -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\urqQjjiH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\HijjQqru.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\HijjQqru.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lqfebims.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smibefql.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fccaXRLC.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


Danke
Michael

#4 ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Download link 1 ComboFix
Download link 2 ComboFix
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung
__________
MfG Argus

#5 ComboFix 09-02-21.01 - Michael 2009-02-23 14:18:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.895.462 [GMT 1:00]
Running from: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Michael\LOKALE~1\Temp\tmp2.tmp
c:\programme\Need2Find
c:\programme\Need2Find\bar\History\search
c:\programme\Need2Find\bar\Settings\settings.dat
c:\programme\Need2Find\bar\Settings\settings.dat.bak
c:\programme\Need2Find\bar\Settings\settings.htm
c:\programme\Need2Find\bar\Settings\settings.htm.bak
c:\windows\cdmxtras
c:\windows\Downloaded Program Files\UERSU_0001_N68M0602NetInstaller.exe
c:\windows\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe

.
((((((((((((((((((((((((( Files Created from 2009-01-23 to 2009-02-23 )))))))))))))))))))))))))))))))
.

2009-02-23 14:16 . 2009-02-23 14:16 <DIR> d-------- C:\32788R22FWJFW
2009-02-23 13:32 . 2009-02-23 13:32 <DIR> d-------- c:\windows\LastGood
2009-02-23 12:42 . 2009-02-23 12:42 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2009-02-23 12:41 . 2009-02-23 12:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-23 12:41 . 2009-02-23 12:41 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-23 12:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-23 12:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-23 01:50 . 2009-02-23 01:50 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-23 01:50 . 2009-02-23 01:50 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmen�
2009-02-23 01:50 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-02-22 12:42 . 2009-02-23 11:45 <DIR> d-------- C:\hijackthis
2009-02-22 11:33 . 2009-02-22 11:33 1,693,417 ---hs---- c:\windows\system32\rbiljuel.ini
2009-02-22 11:33 . 2009-02-22 11:33 24,576 --a------ c:\windows\system32\VundoFixSVC.exe
2009-02-22 11:10 . 2009-02-22 11:10 119,808 --a------ c:\temp\VundoFix.exe
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-02-22 10:19 . 2005-09-26 09:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Template
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CyberLink
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-02-22 10:19 . 2009-02-23 01:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-02-21 11:42 . 2009-02-21 11:42 128 --a------ c:\windows\??AVSCAN-20090221-114220-E0A3242C.avp
2009-02-20 14:10 . 2009-02-20 14:10 1,684,316 ---hs---- c:\windows\system32\ojusndfv.ini
2009-02-17 18:23 . 2009-02-23 01:50 <DIR> d-------- c:\programme\PokerOffice5
2009-02-17 18:21 . 2009-02-17 18:22 27,017,812 --a------ c:\temp\PokerOffice5.exe
2009-02-17 18:16 . 2009-02-17 18:17 12,666,714 --a------ c:\temp\CarbonPokerInstaller.exe
2009-02-08 12:50 . 2009-02-08 15:31 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\vlc
2009-02-08 12:49 . 2009-02-08 12:49 <DIR> d-------- c:\programme\VideoLAN
2009-02-08 12:35 . 2009-02-09 20:50 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\DivX
2009-02-08 12:35 . 2008-11-06 17:37 129,784 --------- c:\windows\system32\pxafs.dll
2009-02-08 12:34 . 2009-02-08 12:35 <DIR> d-------- c:\programme\DivX
2009-01-29 21:05 . 2009-01-29 21:05 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-29 21:05 . 2009-01-29 21:05 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 12:01 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\LimeWire
2009-02-23 10:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-23 10:39 --------- d--h--w c:\programme\Trillian
2009-02-23 09:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-21 10:10 --------- d-----w c:\programme\TBONBin
2009-02-19 19:14 --------- d-----w c:\programme\Full Tilt Poker
2009-02-17 21:07 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Skype
2009-02-08 11:19 --------- d-----w c:\programme\PartyGaming
2009-02-07 18:50 --------- d-----w c:\programme\eMule
2008-12-25 09:20 90,112 ----a-w c:\windows\DUMP8fcc.tmp
2008-12-24 06:57 --------- d-----w c:\programme\LimeWire
2008-12-12 08:29 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll
2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="c:\programme\CyberLink\Power2Go\Power2GoExpress.exe" [2005-03-23 1630303]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe" [2005-07-13 344064]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"MMTray"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2006-01-17 135168]
"CardReaderReset"="c:\programme\Realtek Semiconductor Corp\Card Reader Software\Reset.exe" [2005-06-18 632832]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"mmtask"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-07-16 98304]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-12 136600]
"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-06-10 286720]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-29 185896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-07-01 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= c:\progra~1\CYBERL~1\Power2Go\CLMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\Programme\\PokerOffice5\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-22 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-22 45376]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-02-23 38496]
S3 stusb2ir;USB 2.0 IrDA Bridge;c:\windows\system32\drivers\stusb2ir.sys [2007-04-25 40856]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBAMSWISSARMY

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a231acc8-6eff-11da-9309-000df01cf16e}]
\Shell\Open(&O)\command - RECYCLED\appmgmt.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-POEngine5 - (no file)


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.gericom.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunCasino.exe
DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.at/static/download/pixacodndupload.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game05.zylom.com/activex/zylomgamesplayer.cab
DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} - hxxp://www.nutzwerk.de/control/NutzNavi.cab
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp07.photoprintit.de/microsite/14/defaults/activex/IPSUploader.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 14:22:18
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-02-23 14:24:37
ComboFix-quarantined-files.txt 2009-02-23 13:23:52

Pre-Run: 15 Verzeichnis(se), 72.198.115.328 Bytes frei
Post-Run: 15 Verzeichnis(se), 72,787,623,936 Bytes frei

174 --- E O F --- 2009-02-12 07:40:20

#6 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)


>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Dateien bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

Zitat

c:\windows\system32\rbiljuel.ini
c:\windows\system32\ojusndfv.ini

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Nutze GMER und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html


Gruss Swiss

#7 Datei rbiljuel.ini empfangen 2009.02.23 18:24:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.23 -
AhnLab-V3 2009.2.24.0 2009.02.23 -
AntiVir 7.9.0.88 2009.02.23 -
Authentium 5.1.0.4 2009.02.23 -
Avast 4.8.1335.0 2009.02.23 -
AVG 8.0.0.237 2009.02.23 -
BitDefender 7.2 2009.02.23 -
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.23 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.23 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6369 2009.02.23 -
F-Prot 4.4.4.56 2009.02.23 -
F-Secure 8.0.14470.0 2009.02.23 Vundo.FBW
Fortinet 3.117.0.0 2009.02.23 -
GData 19 2009.02.23 -
Ikarus T3.1.1.45.0 2009.02.23 -
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.23 -
McAfee 5533 2009.02.22 Vundo!grb
McAfee+Artemis 5534 2009.02.23 Vundo!grb
Microsoft 1.4306 2009.02.23 -
NOD32 3881 2009.02.23 -
Norman 6.00.06 2009.02.23 -
nProtect 2009.1.8.0 2009.02.23 -
Panda 10.0.0.10 2009.02.23 -
PCTools 4.4.2.0 2009.02.23 -
Prevx1 V2 2009.02.23 -
Rising 21.18.02.00 2009.02.23 -
SecureWeb-Gateway 6.7.6 2009.02.23 -
Sophos 4.39.0 2009.02.23 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.23 -
TheHacker 6.3.2.5.263 2009.02.23 -
TrendMicro 8.700.0.1004 2009.02.23 -
VBA32 3.12.10.0 2009.02.22 -
ViRobot 2009.2.23.1618 2009.02.23 -
VirusBuster 4.5.11.0 2009.02.22 -
weitere Informationen
File size: 1693417 bytes
MD5...: ee6b2a4c7fc41dd0d89ba1803a73d2f3
SHA1..: 755f20393277e10228f8d72199b63f578e5293eb
SHA256: 7011ce2277bf20ca640defa73c701788d8263b07e3a48d21877b5acda178288e
SHA512: 8642a58651dc8b2f27cf24c3885fa9a776ab4340275d8d0e976c04a66c4ec35c
2d4a94a14faf35f47dc95b59091f4c8d696804cc5c8f723a8fa7f0672a194b7c
ssdeep: 24576:Um28UH3sPC5zvdrbehUi2Um8EXhUdun1J:Um28i3sPC5zvdrbehUi2Um8E
XhU+j

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


Datei ojusndfv.ini empfangen 2009.02.23 18:27:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.23 -
AhnLab-V3 2009.2.24.0 2009.02.23 -
AntiVir 7.9.0.88 2009.02.23 -
Authentium 5.1.0.4 2009.02.23 -
Avast 4.8.1335.0 2009.02.23 -
AVG 8.0.0.237 2009.02.23 -
BitDefender 7.2 2009.02.23 -
CAT-QuickHeal 10.00 2009.02.22 -
ClamAV 0.94.1 2009.02.23 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.23 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6369 2009.02.23 -
F-Prot 4.4.4.56 2009.02.23 -
F-Secure 8.0.14470.0 2009.02.23 Vundo.FBW
Fortinet 3.117.0.0 2009.02.23 -
GData 19 2009.02.23 -
Ikarus T3.1.1.45.0 2009.02.23 -
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.23 -
McAfee 5533 2009.02.22 Vundo!grb
McAfee+Artemis 5534 2009.02.23 Vundo!grb
Microsoft 1.4306 2009.02.23 -
NOD32 3881 2009.02.23 -
Norman 6.00.06 2009.02.23 -
nProtect 2009.1.8.0 2009.02.23 -
Panda 10.0.0.10 2009.02.23 -
PCTools 4.4.2.0 2009.02.23 -
Prevx1 V2 2009.02.23 -
Rising 21.18.02.00 2009.02.23 -
SecureWeb-Gateway 6.7.6 2009.02.23 -
Sophos 4.39.0 2009.02.23 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.23 -
TheHacker 6.3.2.5.263 2009.02.23 -
TrendMicro 8.700.0.1004 2009.02.23 -
VBA32 3.12.10.0 2009.02.22 -
ViRobot 2009.2.23.1618 2009.02.23 -
VirusBuster 4.5.11.0 2009.02.22 -
weitere Informationen
File size: 1684316 bytes
MD5...: 4e64e504d5bb30ab9e37a51ade4a6dbd
SHA1..: dcefbecafc501a860b4ef8f7363d7e9604527fda
SHA256: fa59518d5322ad438f4e2d51711d88d091a4d7c96fdd0daebd820b75163c22dc
SHA512: 983a450f4bd664d6fa935b5a58c42daf7c2cceeb15933c3f65a4a6deb9e6b9ee
6ba62d3373b8c09ab97b1a167e0ff266f037ef514540b571da6b20968fd8e4e0
ssdeep: 24576:Xm28UH3sPC5zvdrbehUi2Um8EdhEyZ7I4X6:Xm28i3sPC5zvdrbehUi2Um
8Edhp7I4X6

PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -



SDFix: Version 1.240
Run by Administrator on 23.02.2009 at 18:45

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-23 18:53:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*isabled:Trillian"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\PokerOffice5\\bin\\javaw.exe"="C:\\Programme\\PokerOffice5\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 13 Nov 2008 6,108,728 A..H. --- "C:\Programme\Picasa2\setup.exe"
Mon 14 Mar 2005 640,000 A..H. --- "C:\Programme\Trillian\dbghelp.dll"
Mon 14 Mar 2005 143,360 A..H. --- "C:\Programme\Trillian\libexpat.dll"
Tue 30 Jan 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 24 May 2007 28,672 A..H. --- "C:\Dokumente und Einstellungen\Michael\Eigene Dateien\~WRL0497.tmp"
Mon 20 Oct 2003 73,688 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Wed 4 Feb 2004 18,432 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Wed 4 Feb 2004 5,120 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Mon 4 Oct 2004 417,792 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\Maint.exe"
Thu 27 May 2004 61,440 A..H. --- "C:\Programme\Canon\Canon Setup Utility 2.3\uinstrsc.dll"
Fri 25 Jun 2004 418,816 A..HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 25 Jun 2004 390,144 A..HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 25 Jun 2004 574,464 A..HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Fri 25 Jun 2004 430,592 A..HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Fri 25 Jun 2004 390,656 A..HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 25 Jun 2004 399,872 A..HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Mon 28 Oct 2002 433,152 A..HR --- "C:\WINDOWS\system32\Tools\Locale.exe"
Fri 25 Jun 2004 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 25 Jun 2004 388,608 A..HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 25 Jun 2004 431,616 A..HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 25 Jun 2004 388,096 A..HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Thu 29 Mar 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"


Finished!

#8 Und was meint GMER?

Zitat

>>
Nutze GMER und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

Gruss Swiss

#9 sorry, konnte den gmer erst heute downloaden:

hier das ergebnis.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-24 12:05:27
Windows 5.1.2600 Service Pack 3


---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\Michael\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\hiber_WMILIB.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[2352] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [00FF2070] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [00FF20B0] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [00FF2030] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [00FF2000] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll
IAT C:\Programme\Internet Explorer\iexplore.exe[2392] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [00FF4C50] C:\Programme\Canon\Easy-WebPrint\EWPCore.dll

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\Michael\Cookies\michael@board.protecus[1].txt 390 bytes

---- EOF - GMER 1.0.14 ----

#10 >>
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche c:\windows\system32\rbiljuel.ini und klicke OK

Das gleiche mit:
c:\windows\system32\ojusndfv.ini

>>
Mach ein Onlinescan mit Bitdefender:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Kommen noch Meldungen?

Gruss Swiss

#11 Hi Swiss,

da kommt folgende Meldung:

BitDefender failed to update the virus definitions....

Do you want to start scanning? --> dann gehe ich auf JA,
dann läufts nicht --> scan failed! please upgrad to BitDefender 2008 products...

Thx
Michael

#12 Dann versuche es mit FSecure:
http://virus-protect.org/artikel/tools/fsecureonline.html
oder
Kaspersky:
http://www.kaspersky.com/de/virusscanner

Kommen noch Meldungen von Avira?

Gruss Swiss

#13 Hi Swiss;

folgendes von f-secure:

Result: 20 malware found
Downloader.Win32.WinFixer (spyware)
System
Monitor.Win32.ActualSpy (spyware)
System
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Adrevolver (spyware)
System
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Clickbank (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Imrworldwide (spyware)
System
TrackingCookie.Instadia (spyware)
System
TrackingCookie.Mediaplex (spyware)
System
TrackingCookie.Questionmarket (spyware)
System
TrackingCookie.Revsci (spyware)
System
TrackingCookie.Statcounter (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
TrackingCookie.Webtrends (spyware)
System
TrackingCookie.Xiti (spyware)
System
TrackingCookie.Yieldmanager (spyware)
System
TrackingCookie.Zanox (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 30584
System: 3471
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 20
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.6.8511, 2009-02-24
F-Secure AVP: 7.0.171, 2009-02-24
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics



Von AVIR keine Meldung mehr!

Guten Morgen - Michael

#14 In welchen Dateien wurde dies gefunden:

Zitat

Downloader.Win32.WinFixer (spyware)
System
Monitor.Win32.ActualSpy (spyware)
System

>>
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

>>
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

-----
Hier etwas zu Tracking Cookies:
http://www.virenschutz.info/Tracking-Cookies-Spyware-Tutorials-16.html


Gruss Swiss

#15 Hi Swiss!

zur ersten Frage kann ich dir leider keine Auskunft geben in welchen Dateien das war... sorry...

hier der report von spyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/26/2009 at 09:22 AM

Application Version : 4.25.1014

Core Rules Database Version : 3776
Trace Rules Database Version: 1735

Scan type : Complete Scan
Total Scan Time : 00:44:15

Memory items scanned : 627
Memory threats detected : 0
Registry items scanned : 5749
Registry threats detected : 58
File items scanned : 18850
File threats detected : 152

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Michael\Cookies\michael@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@mediaplex[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@profile[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@bonus[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adrevolver[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@youporn[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adserv.i-terminal[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@fastclick[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@stats.bmw[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@zedo[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@pc[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@dynamic.media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@earlyexp[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@komtrack[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ig-bdsm[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@kontera[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@doubleclick[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@xiti[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adrevolver[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@apm.emediate[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.heias[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@secure.partyaccount[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@hollandcasino[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.71i[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@perf.overture[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@edsa.122.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@bluestreak[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@audiag.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-tiscover.hitbox[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.adshopping[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@hitbox[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@popups[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@casalemedia[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@spoxgmbh.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@serving-sys[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.pointroll[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tracking.fastbooking[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@indextools[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@statcounter[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@affiliates.thrixxx[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.pornhub[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@apmebf[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@247realmedia[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@hotelscom.122.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@earlyexp[3].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.etracker[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@promos[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.sexy-tipp[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@300002139009955[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@advertising[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.sextra[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@sexy-tipp[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@kleinezeitung[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@img[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adtech[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@diepresse[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@questionmarket[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@styria[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@partypoker[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adviva[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads-dev.youporn[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-mgmmirageoperations.hitbox[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@condor[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@cashier[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@richmedia.yahoo[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@pornhub[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@te.kontera[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@atdmt[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@overture[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@4stats[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@counter[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.salebroker[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@finder.vol[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@1050218990[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.active-tracking[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.clicksor[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@account.live[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@987810021400021[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ehg-researchinmotion.hitbox[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@content.yieldmanager.edgesuite[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.httpool[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@specificclick[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@m1.webstats.motigo[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.adnet[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@wmvmedialease[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@accounts.pkr[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@zanox[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@revsci[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tcook[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@vlc-media-player.softonic[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.pokertracker[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@cgi-bin[4].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@autoscout24.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@microsoftwindows.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ero-advertising[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@hotels.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ad.bauerverlag[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@smartadserver[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.neverbeg[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@clickbank[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@myroitracking[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.overclockers[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@eas4.emediate[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@www.german.toptraffic-track[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ak[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@divx.112.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@1060110966[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@researchinmotion.122.2o7[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@video[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@1070847646[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@clicks.pangora[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads1.w3hoster[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ads.ad4game[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@countr[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@counter[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@banner[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@track[1].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@offeroptimizer[2].txt
C:\Dokumente und Einstellungen\Michael\Cookies\michael@offeroptimizer[1].txt

Adware.Best Offers Network
C:\Programme\TBONBin

Dialer.VacPro
HKCR\Progetto1.int_ver34
HKCR\Progetto1.int_ver34\Clsid
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\0\win32
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\FLAGS
HKCR\TypeLib\{4CAB2947-C1D1-4233-AA2E-FE05362A5945}\2.0\HELPDIR
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\Downloaded Program Files\int_ver34.ocx [
]
HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}
HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\ProxyStubClsid
HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\ProxyStubClsid32
HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\TypeLib
HKCR\Interface\{64DF7061-17E8-4063-9723-27428076DE26}\TypeLib#Version
HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}
HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\ProxyStubClsid
HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\ProxyStubClsid32
HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\TypeLib
HKCR\Interface\{DC7584B0-2972-41A3-9965-29EB177E6160}\TypeLib#Version

Trojan.ErrorSafe
C:\Programme\ErrorSafe
HKCR\ESSPCheck.ESSPCheck
HKCR\ESSPCheck.ESSPCheck\CLSID
HKCR\ESSPCheck.ESSPCheck\CurVer
HKCR\ESSPCheck.ESSPCheck.1
HKCR\ESSPCheck.ESSPCheck.1\CLSID
HKU\S-1-5-21-999773486-1675331524-1127760630-1005\Software\ErrorSafe
HKLM\Software\ErrorSafe
HKLM\Software\ErrorSafe\ErrorSafe
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD\0000#Capabilities
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\InprocServer32
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\InprocServer32#ThreadingModel
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\ProgID
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\Programmable
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\TypeLib
HKCR\clsid\{5284ac2a-ef00-4750-9b82-b5b907d26536}\VersionIndependentProgID
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\0
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\0\win32
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\FLAGS
HKCR\typelib\{68bc55e9-4d3e-4c89-89ac-7559763c98b8}\1.0\HELPDIR
HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}
HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\ProxyStubClsid
HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\ProxyStubClsid32
HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\TypeLib
HKCR\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}\TypeLib#Version
C:\WINDOWS\SYSTEM32\DRIVERS\ERSSDD.SYS

Unclassified.Monitor/ActualSpy
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6602533C-EA53-460D-A876-189B4017764B}\RP1\A0000090.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6602533C-EA53-460D-A876-189B4017764B}\RP1\A0000091.DLL


hab ich nun das ärgster überstanden *gg*?

gruß und dank für die mühen
michael