Hallo,
bin dazu verdonnert worden den laptop meiner mitbewohnerin von viren zu befreien. sie hatte natürlich kein antivirus programm installiert. habe antivir installiert. beim scan wurden ca. 20 verschiedene viren gefunden, aber nicht alle konnten entfernt werden. komme auch nicht in den abgesicherten modus.
schaut euch bitte mal die log file an und sagt mir, ob man da noch was retten kann oder ich besser gleich formatieren sollte.

Besten Dank!!


Logfile of HijackThis v1.99.1
Scan saved at 18:10:03, on 18.05.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NETGEAR\WG511v2\wlancfg5.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\dpjhwqpq.dll (file missing)
O2 - BHO: (no name) - {3E6AB2D9-57C7-4200-9F2C-5C4721875D58} - C:\WINDOWS\System32\awtst.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Managment Service] suyahpkm.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [WiFix service] p2sm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Managment Service] suyahpkm.exe
O4 - HKLM\..\RunServices: [WiFix service] p2sm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG511v2 Wireless Assistant.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://w*w.versatel.de/internet-cd/
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.DLL (file missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtst - C:\WINDOWS\System32\awtst.dll
O20 - Winlogon Notify: ljjiihh - ljjiihh.dll (file missing)
O20 - Winlogon Notify: WLogon - srvc.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Windows NT Logon Application (WINLOGON) - Unknown owner - C:\WINDOWS\system\winlogon.exe (file missing)

bei diesem softwarestand würde ich formatieren

p.s. was wurde den von antivir gefunden, poste das logfile

• download von VundoFix.exe auf den desktop.
• starte nun das programm mit einem doppelklick auf die vundofix.exe
• starte den scan nach vundo (dauert ein wenig).
• wähle im nächsten schritt [remove vundo].
• werden dateien gefunden, sollst du die frage zur entfernung mit [ja] beantworten.
• wie bei anderen cleanern auch, verschwindet während der reinigung die desktopoberfläche
• nach der bereinigung muss der rechner neu gestartet werden, beantworte die frage mit ok
• nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
• erstelle ein neues hjt-logfile und poste es.

• download von filelist.zip auf deinen desktop.
• entpacke hier die zip datei
• starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm
• dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
• markiere den inhalt und füge in hier im forum in deinem beitrag ein.
• wichtig: logfile im tag [code] posten
• formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.
• das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
  1. Verzeichnis von C:\
  2. Verzeichnis von C:\WINDOWS
  3. Verzeichnis von C:\WINDOWS\system
  4. Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
  5. Verzeichnis von C:\WINDOWS\Prefetch
  6. Verzeichnis von C:\WINDOWS\tasks
  7. Verzeichnis von C:\WINDOWS\Temp
  8. Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hallo Speedyweb,
Meinst Du mit Softwarestand und Formatieren einen Befall oder die fehlenden Updates ?

grüße, schneipi

also hier die antivir file. werde die anderen scans noch durchführen.




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 16. Mai 2007 20:49

Es wird nach 740715 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: Steffi
Computername: STEFANIA-3J371H

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:09:01
ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12.04.2007 13:09:02
ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16.04.2007 13:09:02
AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13.04.2007 13:04:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27.03.2007 07:48:28
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 16. Mai 2007 20:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'irdvxc.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\System32\irdvxc.exe'
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlancfg5.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system\winlogon.exe'
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\System32\winamp.exe'
Durchsuche Prozess 'suyahpkm.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\System32\suyahpkm.exe'
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'irdvxc.exe' wird beendet
Prozess 'winlogon.exe' wird beendet
Prozess 'winamp.exe' wird beendet
Prozess 'suyahpkm.exe' wird beendet
C:\WINDOWS\System32\irdvxc.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.50176.5
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\System32\winamp.exe
[FUND] Enthält Signatur des Wurmes WORM/Poebot.C.226
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\System32\suyahpkm.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.119972
[INFO] Die Datei wurde gelöscht.

Es wurden '27' Prozesse mit '23' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\c0000l\kasber.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCBot.620544
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\kasber.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCBot.620544
c:\o.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen
[INFO] Die Datei wurde gelöscht.
c:\o.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen

Die Registry wurde durchsucht ( '14' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\dkj.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Rustock.M
[INFO] Die Datei wurde gelöscht.
C:\fari.exe
[FUND] Enthält Signatur des Droppers DR/Sniffer.C.35
[INFO] Die Datei wurde gelöscht.
C:\j.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aav.5
[INFO] Die Datei wurde gelöscht.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\xkh.exe
[FUND] Enthält Signatur des Wurmes WORM/Gaobot.NA
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\12HZO7SW\bn50[1].exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Rustock.M
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M4Q3MD1B\big[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aav.5
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M4Q3MD1B\o[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\DED3.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LQ
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTAF8HY3\PLAY[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.SmartShop.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 468c598a.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Steffi\Shared\01 Track 1.wma
[FUND] Ist das Trojanische Pferd TR/Wimad.A.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 466b5e71.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.50176.5
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b0647f.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\awtst.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.H.DLL
[INFO] Eine Sicherungskopie wurde unter dem Namen 46bf64e9.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\jkkhfgd.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Zxc5.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b6694a.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\ljjiihh.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Zxc5.A
[INFO] BDS/Zxc5.A:[HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]:<@>=sz:ljjiihh.dll
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b569bc.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\lzx32.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 46c36a53.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\mljgfcc.dll
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Zxc5.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b56a5c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\pebkxnop.dll
[FUND] Ist das Trojanische Pferd TR/Spy.VBStat.H
[INFO] Eine Sicherungskopie wurde unter dem Namen 46ad6b29.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\srvc.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aav.5
[INFO] Eine Sicherungskopie wurde unter dem Namen 46c16bce.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\taskmgrc.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.119972
[INFO] Eine Sicherungskopie wurde unter dem Namen 46be7301.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vkaujkma.dll
[FUND] Ist das Trojanische Pferd TR/Spy.VBStat.H
[INFO] Eine Sicherungskopie wurde unter dem Namen 46ac7311.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\c
[FUND] Enthält Signatur des IRC-Virus IRC/LowJones.4
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b772f5.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\cl
[FUND] Ist das Trojanische Pferd TR/Drop.LowJones.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a77332.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\f
[FUND] Enthält Signatur des IRC-Virus IRC/Remotexec.A.4
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b772f6.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\p2sm.exe
[FUND] Enthält Signatur des Wurmes WORM/Gaobot.NA
[INFO] Eine Sicherungskopie wurde unter dem Namen 46be72f9.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\securaq.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agen.7168
[INFO] Eine Sicherungskopie wurde unter dem Namen 46ae732d.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\c0000l\test
[FUND] Enthält Signatur des IRC-Virus IRC/ColdLife.30.B
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b0733c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ML3LIHD\s3.0[1].exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LS.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 467972ff.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\c
[FUND] Enthält Signatur des IRC-Virus IRC/LowJones.4
[INFO] Eine Sicherungskopie wurde unter dem Namen 46c0776e.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\cl
[FUND] Ist das Trojanische Pferd TR/Drop.LowJones.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a7777e.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\kasber.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCBot.620544
[INFO] Eine Sicherungskopie wurde unter dem Namen 46be776c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\p2sm.exe
[FUND] Enthält Signatur des Wurmes WORM/Gaobot.NA
[INFO] Eine Sicherungskopie wurde unter dem Namen 46be773e.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\securaq.exe
[FUND] Ist das Trojanische Pferd TR/Click.Agen.7168
[INFO] Eine Sicherungskopie wurde unter dem Namen 46ae7772.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\iloveu\test
[FUND] Enthält Signatur des IRC-Virus IRC/ColdLife.30.B
[INFO] Eine Sicherungskopie wurde unter dem Namen 46b07782.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\407F.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LQ
[INFO] Eine Sicherungskopie wurde unter dem Namen 4682775a.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\424B.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LQ
[INFO] Eine Sicherungskopie wurde unter dem Namen 467f775d.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\51E5.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LS.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 4690775c.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\5A5A.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LQ
[INFO] Eine Sicherungskopie wurde unter dem Namen 4680776d.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\A522.tmp
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.LS.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 467d7762.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 16. Mai 2007 23:27
Benötigte Zeit: 2:38:01 min

Der Suchlauf wurde vollständig durchgeführt.

1457 Verzeichnisse wurden überprüft
105990 Dateien wurden geprüft
47 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
40 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
30 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
105943 Dateien ohne Befall
3508 Archive wurden durchsucht
4 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

Zitat:

Zitat von Schneipi

Hallo Speedyweb,
Meinst Du mit Softwarestand und Formatieren einen Befall oder die fehlenden Updates ?

grüße, schneipi

fehlende updates und eine linke form des vundo

das ganze könnte in arbeit ausarten, gruß nach salzburg

und bei dem gewirr

Zitat:

C:\WINDOWS\System32\irdvxc.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.50176.5
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\System32\winamp.exe
[FUND] Enthält Signatur des Wurmes WORM/Poebot.C.226
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\System32\suyahpkm.exe
[FUND] Enthält Signatur des Wurmes WORM/Rbot.119972
[INFO] Die Datei wurde gelöscht.

Hallo,
ot.
Ich frage mich seit zwei Tagen ob im HijackThis Forum Feiertagsruhe ist und ob heute ein Brückentag genommen wird...?
Ob derjenige den ich meine ,wohl weiß das er gemeint ist...
Übrigens Speedy...
deine Link`s in der Signatur funzen nicht....
Irrlicht

hier die auswertung von vundofix:


Beginning removal...

Beginning removal...

VundoFix V6.3.23

Checking Java version...

Sun Java not detected
Scan started at 19:15:53 18.05.2007

Listing files found while scanning....

C:\WINDOWS\System32\awtst.dll
C:\WINDOWS\System32\dpjhwqpq.dll
C:\WINDOWS\system32\ideynmhg.exe
C:\WINDOWS\System32\tstwa.bak1
C:\WINDOWS\System32\tstwa.bak2
C:\WINDOWS\System32\tstwa.ini
C:\WINDOWS\System32\tstwa.ini2
C:\WINDOWS\System32\tstwa.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\System32\awtst.dll
C:\WINDOWS\System32\awtst.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ideynmhg.exe
C:\WINDOWS\system32\ideynmhg.exe Has been deleted!

Attempting to delete C:\WINDOWS\System32\tstwa.bak1
C:\WINDOWS\System32\tstwa.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\tstwa.bak2
C:\WINDOWS\System32\tstwa.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\tstwa.ini
C:\WINDOWS\System32\tstwa.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\tstwa.ini2
C:\WINDOWS\System32\tstwa.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\tstwa.tmp
C:\WINDOWS\System32\tstwa.tmp Has been deleted!

Performing Repairs to the registry.
Done!

hoffe, du meinst das so...

Code: Alles auswählenAufklappen

ATTFilter

----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\

18.05.2007  19:48                43 filelist.txt
18.05.2007  19:43               268 sqmdata12.sqm
18.05.2007  19:43               244 sqmnoopt12.sqm
18.05.2007  19:39       390.070.272 pagefile.sys
18.05.2007  19:37             1.269 vundofix.txt
18.05.2007  18:04               268 sqmdata11.sqm
18.05.2007  18:04               244 sqmnoopt11.sqm
18.05.2007  17:25               268 sqmdata10.sqm
18.05.2007  17:25               244 sqmnoopt10.sqm
16.05.2007  20:16               268 sqmdata09.sqm
16.05.2007  20:16               244 sqmnoopt09.sqm
16.05.2007  14:41               268 sqmdata08.sqm
16.05.2007  14:41               244 sqmnoopt08.sqm
16.05.2007  02:57               194 boot.ini
16.05.2007  02:39               268 sqmdata07.sqm
16.05.2007  02:39               244 sqmnoopt07.sqm
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS

18.05.2007  19:41         1.363.952 WindowsUpdate.log
18.05.2007  19:39                 0 0.log
18.05.2007  19:39             2.048 bootstat.dat
18.05.2007  17:34           386.442 ntbtlog.txt
18.05.2007  17:29            32.626 SchedLgU.Txt
16.05.2007  23:13           374.861 setupapi.log
16.05.2007  02:57               504 win.ini
16.05.2007  02:57               246 system.ini
16.05.2007  02:20               296 Versatel.log
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS\system

 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS\system32

18.05.2007  16:25             2.184 wpa.dbl
16.05.2007  23:07           311.938 perfh009.dat
16.05.2007  23:07            40.326 perfc009.dat
16.05.2007  23:07           317.168 perfh007.dat
16.05.2007  23:07            48.552 perfc007.dat
16.05.2007  23:07           723.744 PerfStringBackup.INI
16.05.2007  20:54             1.076 hggdd.exe
            1794 Datei(en)    280.396.163 Bytes
               0 Verzeichnis(se), 15.644.049.408 Bytes frei
 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS\Prefetch

18.05.2007  19:48             4.040 FIND.EXE-0EC32F1E.pf
18.05.2007  19:48             6.436 CMD.EXE-087B4001.pf
18.05.2007  19:48            32.984 EXPLORER.EXE-082F38A9.pf
18.05.2007  19:46            15.396 NOTEPAD.EXE-336351A9.pf
18.05.2007  19:45            17.824 AVGNT.EXE-36CA4640.pf
18.05.2007  19:44            48.126 AVGUARD.EXE-3490B18B.pf
18.05.2007  19:43            42.468 AVNOTIFY.EXE-22AE9451.pf
18.05.2007  19:43            55.272 IEXPLORE.EXE-2CA9778D.pf
18.05.2007  19:42            18.090 WUAUCLT.EXE-399A8E72.pf
18.05.2007  19:42             8.432 JAVA.EXE-310DF52D.pf
18.05.2007  19:41             5.826 UPDATE.EXE-13D57D76.pf
18.05.2007  19:41           494.020 NTOSBOOT-B00DFAAD.pf
18.05.2007  19:37             8.126 REGEDIT.EXE-1B606482.pf
18.05.2007  19:37             8.644 VUNDOFIXSVC.EXE-18ADD79E.pf
18.05.2007  19:34            20.404 GUARDGUI.EXE-1BD45C30.pf
18.05.2007  19:24            39.188 AVCENTER.EXE-37584419.pf
18.05.2007  19:16            12.622 VUNDOFIX.EXE-187D1BFF.pf
18.05.2007  19:07             4.370 LOGON.SCR-151EFAEA.pf
18.05.2007  18:10            11.510 HIJACKTHIS.EXE-0F5ED41A.pf
18.05.2007  18:09             6.818 DUMPREP.EXE-1B46F901.pf
18.05.2007  18:09            12.258 HIJACKTHIS.EXE-03F7B043.pf
18.05.2007  18:08            12.026 HIJACKTHIS.EXE-076F7394.pf
18.05.2007  18:08             5.814 HIJACKTHIS.EXE-12D6976B.pf
18.05.2007  17:48            35.304 RUNDLL32.EXE-26DA8C9B.pf
18.05.2007  17:47            16.172 WMIPRVSE.EXE-28F301A9.pf
18.05.2007  17:46             8.840 WLANCFG5.EXE-034080C1.pf
18.05.2007  17:46            17.074 ICQLITE.EXE-2AEFACA7.pf
18.05.2007  17:46             3.196 READER_SL.EXE-36135169.pf
18.05.2007  17:46             5.420 MSNMSGR.EXE-091111D0.pf
18.05.2007  17:46             3.964 SCHED.EXE-236A886F.pf
18.05.2007  17:46             9.634 JUCHECK.EXE-010DD9D0.pf
18.05.2007  17:46            10.494 JUSCHED.EXE-12500630.pf
18.05.2007  17:21             5.406 HIJACKTHIS.EXE-1E3DBB42.pf
18.05.2007  17:20            17.648 TASKMGR.EXE-20256C55.pf
18.05.2007  17:19             8.886 PREUPD.EXE-358AA1C1.pf
18.05.2007  17:09             5.874 USERINIT.EXE-30B18140.pf
18.05.2007  17:09             4.396 SPOOLSV.EXE-282F76A7.pf
18.05.2007  17:09            11.242 SVCHOST.EXE-3530F672.pf
18.05.2007  17:09             3.038 LSASS.EXE-20DB6D1B.pf
18.05.2007  17:09             2.882 SERVICES.EXE-2F433351.pf
18.05.2007  17:09             6.866 WINLOGON.EXE-32C57D49.pf
18.05.2007  17:09             8.480 CSRSS.EXE-12B63473.pf
18.05.2007  17:09            10.540 SMSS.EXE-22F38377.pf
18.05.2007  17:09             1.020 AUTOCHK.EXE-2F8C59C3.pf
17.05.2007  01:45            14.054 HELPSVC.EXE-2878DDA2.pf
16.05.2007  23:41            14.192 DFRGNTFS.EXE-269967DF.pf
16.05.2007  23:40            12.796 DEFRAG.EXE-273F131E.pf
16.05.2007  23:40           112.796 Layout.ini
16.05.2007  23:03            21.660 SUYAHPKM.EXE-1960005F.pf
16.05.2007  21:22            20.612 GETFLASH.EXE-06BD8A00.pf
16.05.2007  20:46            55.660 REGSVR32.EXE-25EEFE2F.pf
16.05.2007  20:43            18.330 RUNONCE.EXE-2803F297.pf
16.05.2007  20:21             7.104 MPNOTIFY.EXE-3631A846.pf
16.05.2007  14:35            23.616 MMC.EXE-15688AA5.pf
16.05.2007  14:30             7.928 RUNDLL32.EXE-451FC2C0.pf
16.05.2007  02:53            73.020 LIMEWIRE.EXE-1CE6208C.pf
16.05.2007  02:43            18.644 SONYDIR.EXE-28A09C88.pf
16.05.2007  02:42            56.908 WMPLAYER.EXE-09969332.pf
16.05.2007  02:38            31.308 RUNDLL32.EXE-492F8754.pf
16.05.2007  02:37            41.608 MSHTA.EXE-331DF029.pf
16.05.2007  02:30            13.904 RESIDENCE.EXE-01511A9B.pf
16.05.2007  02:30            16.558 SONYTRAY.EXE-003A974A.pf
16.05.2007  02:30            27.144 MSMSGS.EXE-32066BA5.pf
16.05.2007  02:20             8.728 WSUTIL.EXE-2B577F06.pf
              74 Datei(en)      1.897.190 Bytes
               0 Verzeichnis(se), 15.644.045.312 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS\tasks

18.05.2007  19:39                 6 SA.DAT
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 15.644.045.312 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\WINDOWS\Temp

18.05.2007  19:41                 0 Upd3.tmp
18.05.2007  17:19                 0 Upd2.tmp
16.05.2007  23:14            93.696 A055.tmp
16.05.2007  21:28            93.696 E07B.tmp
16.05.2007  20:44                 0 Upd1.tmp
16.05.2007  20:27            93.696 BCEA.tmp
16.05.2007  20:15            16.384 Perflib_Perfdata_c30.dat
              11 Datei(en)        650.134 Bytes
               0 Verzeichnis(se), 15.644.045.312 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 18AC-815F

 Verzeichnis von C:\DOKUME~1\Steffi\LOKALE~1\Temp

18.05.2007  19:41            98.529 jusched.log
18.05.2007  19:15            32.768 ~DF60F.tmp
18.05.2007  18:09            16.384 ~DF4189.tmp
18.05.2007  18:08            16.384 ~DFF2D8.tmp
18.05.2007  17:48           132.640 tdwpbjfm.dll
18.05.2007  17:20           132.640 hnykandl.dll
16.05.2007  02:49             1.234 PortalApp.xml
MsiExec.txt
             339 Datei(en)     22.595.334 Bytes
               0 Verzeichnis(se), 15.644.024.832 Bytes frei
         

Hallo,
um mal Klartext zu sprechen......

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dem User ,dem diese Kiste gehört,dem brennt der Hut...
Da hat sich eine veritable Sammlung von Backdoortrojanern und sonstigem Übel eingefunden.....
Eine Bereinigung ist hier meines Erachtens völlig sinnlos !
Auch weil die Kiste sofort wieder Probleme macht,weil der Patchstand absolut ungenügend ist.
Das Service Pack 2 besorgen von Freunden/Bekannten leihen und ab in die FAQ Sektion und sich intensiv mit dem Thread zum Neuaufsetzen des Systems beschäftigen.
Nach dem Neuaufsetzen unbedingt sämtliche Passwörter ändern !
Irrlicht,
der nicht glauben mag ,was er da sieht...