TR/Vundo.Gen entdeckt

#0
05.03.2009, 15:49
Member

Beiträge: 3716
#16 http://board.protecus.de/t13020.htm
so viel von dem link umsetzen wie möglich
Seitenanfang Seitenende
05.03.2009, 17:28
Member

Themenstarter

Beiträge: 14
#17 So, hier jetzt der Kaspersky scan bericht:

Donnerstag, 5. März 2009 17:06:18
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 5/03/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1870568
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 70408
Viren gefunden 0
Infizierte Objekte gefunden 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:33:08

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\344527059\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\344527059\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg8192.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatsync\75\75761130c4c9a2bb.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\profile4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\transfer256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\transfer512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\access\access.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Temp\etilqs_R3CpNEnGOEh9kBNmCTVV Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Temp\JET7E38.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Nadja Grimm\Verlauf\History.IE5\MSHist012009030520090306\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP3\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{BD0212C9-3DD1-4D7E-B310-D26E67DA8AD2}.crmlog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\msmq\storage\QMLog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

Also wie gesagt, von der funktionalität her scheint auf dem laptop wieder alles in Ordnung, vielen Dank nochmal für die klasse Hilfe.
Was meinen PC betrifft, wie schätze ich denn am Besten ab, ob eine Neuinstallation notwendig ist?
Seitenanfang Seitenende
05.03.2009, 17:57
Member

Beiträge: 3716
#18 ok jetzt kommen wir zum schluss, also programme entrümpeln und updaten.
öffne CCleaner, extras liste der instalierten programme.
deinstalieren:
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Reader 8.1.2 - Deutsch
neueste version:
www.adobe.com/de/products/reader/ - 32k -
J2SE Runtime Environment 5.0 Update 6
das reinigungstool hierfür laden:
www.heise.de/software/download/javara/56676 - 77k -
neueste version von java laden:
(jre 6 update 12
www.java.com/de/download/manual.jsp -
Macromedia Flash Player 8
ersetzen durch:
www.adobe.com/de/products/flashplayer/ - 31k -
Microsoft .NET Framework 1.0 Hotfix (KB887998)
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Packwww.chip.de/downloads/Microsoft-.NET-Framework_20894571.html - 85k -
und servicepack 1:
www.computerbase.de/downloads/software/betriebssysteme/microsoft_net_framework/ - 28k -
Skype 3.0
www.skype.com/intl/de/ - 9k -
VideoLAN VLC media player 0.8.6
www.chip.de/downloads/VLC-media-player_13005928.html - 111k -
unnötig:
Bonjour


besuche die windows update-seite, spiele alle wichtigen updates ein, auch internetexplorer 7. Selbst wenn du den nicht verwendest, müssen alle systemkompunenten aktuell sein!
windows updates kommen jeden 2 dienstag im Monat raus, und sollten zeitnahe eingespielt werden!
Dein antivirenprogramm for dem ersten Gang ins INternet updaten.
Die restliche Software ein mal pro Monat prüfen hiermit z.B.:
www.pcwelt.de/downloads/datenschutz/sicherheit/88366/secunia_personal_software_inspector_psi/ - 54k -
Auch solltest du das Administratorkonto nur verwenden, wenn es sich nicht vermeiden lässt! Sonst erstelle ein gastkonto für die tägliche Arbeit!
Arbeitsplatz, systemsteuerung benutzerkonten, dort ein neues eingeschrenktes Konto erstellen.
Nun entfernen wir noch programmreste von den reinigungsprogrammen:
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe
Schliesse alle Fenster
Doppelklick: OTCleanIt
Klicke: CleanUp
Wenn gefragt wird "Do you want to reboot now?" - klicke "Yes"
Der Rechner wird neu gestartet
öffne den CCleaner lasse ihn noch mal dein system bereinigen. Wähle auch die fehlerbehebung, dies löscht fehler in der Registry, diesen schritt musst du so oft ausfüren, bis nichts mehr gefunden wird.
Nun rechtsklick auf arbeitsplatz, eigenschaften, Systemwiederherstellung, wähle auf allen laufwerken deaktiviren aus. Warte 5 min und schalte sie wieder ein.

öffne hijackthis klicke scan hake an:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
falls kein proxy verwendet wird auch anhaken:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
autostart aufräumen, diese programme starten unnötigerweise und können per hand gestartet werden:
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
drücke fix cheked.
zum schluss kannst du ja ncoh mal ein letztes hijackthis-log posten.
Seitenanfang Seitenende
05.03.2009, 21:48
Member

Beiträge: 3716
#19 kannst du dir ncoh mal regsearch hohlen und dort eingeben:
aYdGDI32
das ergebniss posten
Seitenanfang Seitenende
05.03.2009, 22:05
Member

Themenstarter

Beiträge: 14
#20 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 05.03.2009 22:03:34 for strings:
; 'aydgdi32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


So, hab versucht alles so auszuführen wie beschrieben, hier das neue hjt-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:24, on 05.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
C:\Programme\Secunia\PSI\psi.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: E-Mail.lnk = ?
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\NADJAG~1\LOKALE~1\Temp\CISCOV~1\INSTAL~1.EXE (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8567 bytes
Dieser Beitrag wurde am 05.03.2009 um 23:45 Uhr von waxi editiert.
Seitenanfang Seitenende
06.03.2009, 11:17
Member

Beiträge: 3716
#21 du hast aber nicht das richtige gesucht, kopiere einfach ab:
aYdGDI32
nimm auch mal die windows suche und suche nach:
aYdGDI32.dll
bei suchoptionen auch versteckte dateien mit durchsuchen.
Seitenanfang Seitenende
06.03.2009, 11:48
Member

Themenstarter

Beiträge: 14
#22 Habs abkopiert, (glaube auch schon beim ersten Versuch), hier der report:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.03.2009 11:41:15 for strings:
; 'aydgdi32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1143522859-2545341817-1875214237-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="aYdGDI32.dll"

; End Of The Log...


Hab ich das richtige Programm benutzt?

Windows suche bringt keine ergebnisse.
Seitenanfang Seitenende
06.03.2009, 12:04
Member

Beiträge: 3716
#23 ok jetzt war es richtig.
Seitenanfang Seitenende
06.03.2009, 12:09
Member

Beiträge: 3716
#24 hallo, ich bin mir nicht sicher, ob dieses file bei dir existiert:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein
files to delete:
c:\windows\system32\aYdGDI32.dll
wenn der avenger das file findet, maile es mir wieder zu.
melde dich auf jeden fall noch mal hier, wir müssen noch 2 registry schlüssel löschen.
dann bist du befreid ;-)
Seitenanfang Seitenende
06.03.2009, 12:12
Member

Themenstarter

Beiträge: 14
#25 Gut,wie siehts es denn aus? Alles wieder in Ordung?
Und noch ne Frage zu den Benutzerkonten:
Du hattest mir ja empfohlen, ein neues Konto mit eingeschränkten Rechten für die tägliche Arbeit zu erstellen.
Kann ich auch einfach das neue Konto als Admin-Konto erstellen und das jetzige (bisher einzige) Konto mit eingeschränkten Rechten nutzen?
Dieser Beitrag wurde am 06.03.2009 um 12:21 Uhr von waxi editiert.
Seitenanfang Seitenende
06.03.2009, 12:20
Member

Beiträge: 3716
#26 ja das kannst du auch machen. ich will halt nur gucken ob du ncoh die eine datei hast, dann noch 2 kleinigkeiten (regschlüssel löschen nichts was deinen pc momentan noch in gefahr bringt) dann sind wir fertig
Seitenanfang Seitenende
06.03.2009, 12:21
Member

Themenstarter

Beiträge: 14
#27 Also avenger hat es scheinbar nicht gefunden:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\aYdGDI32.dll" not found!
Deletion of file "c:\windows\system32\aYdGDI32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
06.03.2009, 12:32
Member

Beiträge: 3716
#28 start ausfüren regedit. dann gehe auf datei exportieren und wähle einen ort, wo du deine registry hinexportieren kannst, falls etwas schif läuft
navigiere zu:
[HKEY_USERS\S-1-5-21-1143522859-2545341817-1875214237-1005\Software\Microsoft\Search Assistant\ACMru\
und lösche
5603]
und:
5604]

jetzt wieder schließen.
nun sind wir fertig ;-)
Seitenanfang Seitenende
06.03.2009, 12:41
Member

Themenstarter

Beiträge: 14
#29 OK, hab ich gemacht, das avenger backup kann ich löschen oder?
Was ist mit en ganzen Programmen die ich hierfür runtergeladen hab (HijackThis, Malwarebytes, CCleaner, Regsearch, Avenger) - was davon sollte ich behalten, was wieder löschen?
also nochmal, vielen vielen Dank; werd mir hier im Forum sicherlich noch die ein oder anderen Sicherheitstips holen, damit ich mir sowas in Zukunft ersparen kann ;)
Werd morgen das Betriebssystem auf meinem anderen PC neu installieren und zusehen, dass ich da in Zukunft mehr Wert auf die Sicherheit lege ...

Thanks!
Seitenanfang Seitenende
06.03.2009, 12:47
Member

Beiträge: 3716
#30 da ja nichts mit dem avenger gelöscht wurde heute, und du nur das backup hast, dass ich schon habe, lösche sammt backup den avenger. ccleaner malwareBytes würde ich behalten
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: