Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Vundo

Vundo


Plagegeister aller Art und deren Bekämpfung: Vundo

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.07.2007, 19:30   #1
lalarama
 
Vundo - Standard

Vundo


Hallo
Wie so mancher die sich hier an dieses Board wenden, kämpfe auch ich momentan einen erbitterten Kampf gegen Vundo und Konsorten und weiß momentan auch nicht weiter, weshalb ich mich hier an dieses Forum wende.

Erstmal meine System Daten:
Windows XP Home SP2 mit neuestem Update
Firewall ZoneAlarm
Virenscanner Avast 4.7 Home Edition mit ständigen Updates.
Internet Explorer 6.0.2900.2180.xpsp_sp2.gdr.070227.2257

Angefangen hat alles mit nervigen Popups von irgendwelchen Virenscannern wie Dr. Errorsafe oder irgeneinem WinTotal Antivirus Blabla.
Eine Intensivprüfung meiner Platte mit Avast hat leider nichts gebracht.
Ich habe mich dann bissel im I-net schlau gemacht und habe herausgefunden dass es mit Vundo zusammenhängen soll und habe mir den VundoFix runtergeladen, welcher mir beim ersten Durchlauf erstmal min 10 Dateien gefunden hat. Habe danach Microsoft Regclean durchlaufen lassen und neu gestartet.
Kaum 30 Minuten später kam wieder das nächste Popup von Errorsafe. Vundofix hatte wieder 3 Dateien gefunden und entfernt.
Neustart, paar Minuten Laufzeit später wieder das selbe Problem. Die Dateien ändern sich ständig.
Hijack This habe ich wie empfehlen umbenannt und durchlaufen lassen.
Es findet auch einige Einträge wie sie im Internet stehen. Diese habe ich gefixed.
Habe dann versucht mal den Panda online Aktivscan durchlaufen zu lassen aber den erkennt meine AV Software als
http://acs.pandasoftware.com/activescan/as5free/motor.cab\pskavs.DLL
Win32:CTX
Virus/Wurm
Ein weiterer empfohlener online Virenscanner von Trend Micro hat Troj_Virtumon.DV, Troj_Agent.WHS, Troy_Tiny.EN, Possible_Vundo-1 gefunden und bis auf Vundo gesäubert.

Danach habe ich dann probiert, mit Spybot Search & Destroy der Sache Herr zu werden und habe dort auch jede Menge Cookies etc. bekommen welche nun gelöscht sind.
Jedoch bekomme ich weiterhin jedes Mal wenn ich Vundofix laufen lasse neue Dateinamen welche er löschen möchte.

Vielleicht kann mir da ja jemand weitere Tips geben, mit welchen ich den lästigen Bas...... endlich los werde.
In jedem Fall schonmal ein Dickes Danke im Vorraus an alle Helfer hier vom Board

Hier für den Anfang meine Hijack This Logs
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 20:24:42, on 20.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijack This\HJdis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\fccddba.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {C4CDEC68-C640-4310-AE5F-A3342F52C209} - C:\WINDOWS\system32\ddabx.dll (file missing)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: (no name) - {E7EA9AC8-BF6C-40AE-94C3-C92CB52AF97D} - C:\WINDOWS\system32\gebcy.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184690203937
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O20 - Winlogon Notify: fccddba - C:\WINDOWS\SYSTEM32\fccddba.dll
O20 - Winlogon Notify: gebcy - C:\WINDOWS\system32\gebcy.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und die Startup Logliste
Zitat:
StartupList report, 20.07.2007, 20:28:59
StartupList version: 1.52.2
Started from : C:\Programme\Hijack This\HJdis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijack This\HJdis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMAXPnP = C:\Programme\Analog Devices\Core\smax4pnp.exe
SoundMAX = "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
JMB36X Configure = C:\WINDOWS\system32\JMRaidTool.exe boot
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NWEReboot =
NeroFilterCheck = C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
CPQEASYACC = C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
CloneDVDElbyDelay = "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
ElbyCheckAnyDVD = "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
ISUSPM Startup = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
ISUSScheduler = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
ZoneAlarm Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
SunJavaUpdateSched = "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
Steam =
SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\system32\fccddba.dll - {3F4F125D-F31E-4D37-AC35-E50128670469}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programme\Free Download Manager\iefdmcks.dll - {CC59E0F9-7E43-44FA-9FAA-8377850BF205}
(no name) - C:\WINDOWS\system32\gebcy.dll - {E7EA9AC8-BF6C-40AE-94C3-C92CB52AF97D}

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184690203937

[GameLauncher Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\GAMELA~1.OCX
CODEBASE = http://www.acclaim.com/cabs/acclaim_v5.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx
CODEBASE = https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 6.844 bytes
Report generated in 0,047 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Alt 20.07.2007, 21:01   #2
nochdigger
 
Vundo - Standard

Vundo


Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Lade dir dann mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

Lade dir auch Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log

MFG
__________________
Alt 21.07.2007, 19:32   #3
lalarama
 
Vundo - Standard

Vundo


Erst einmal ein Dickes DANKE
dass du mir hilfst
Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Habe ich gemacht, es fehlte nur das nicht ausblenden bekannter Dateiendungen.

Zitat:
Zitat von nochdigger Beitrag anzeigen
Lade dir dann mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).
Hier die gewünschte Liste:
Ich habe wie gefordert alles entfernt mit Datum 21.06.07 und älter

Zitat:
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\

21.07.2007 20:18 43 filelist.txt
21.07.2007 20:11 2.146.684.928 hiberfil.sys
21.07.2007 20:11 2.145.386.496 pagefile.sys
21.07.2007 20:10 4.613 VundoFix.txt
19.07.2007 19:36 47.338.776 old.reg

18 Datei(en) 4.339.720.077 Bytes
0 Verzeichnis(se), 78.986.907.648 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS

21.07.2007 20:12 0 0.log
21.07.2007 20:12 1.654.092 WindowsUpdate.log
21.07.2007 20:11 2.048 bootstat.dat
21.07.2007 19:55 32.582 SchedLgU.Txt
19.07.2007 15:02 194.344 setupact.log
18.07.2007 18:37 379.976 DirectX.log
18.07.2007 01:28 21.906 setupapi.log
18.07.2007 00:06 0 setuperr.log
17.07.2007 18:49 89.479 iis6.log
17.07.2007 18:49 198.663 comsetup.log
17.07.2007 18:49 118.524 ntdtcsetup.log
17.07.2007 18:49 1.374 imsins.log
17.07.2007 18:49 218.277 tsoc.log
17.07.2007 18:49 31.323 ocmsn.log
17.07.2007 18:49 11.312 KB936357.log
17.07.2007 18:49 28.372 msgsocm.log
17.07.2007 18:49 274.209 ocgen.log
17.07.2007 18:49 561.796 FaxSetup.log
17.07.2007 18:31 182 NeroDigital.ini
16.07.2007 22:48 17.395 DIIUnin.dat
16.07.2007 22:27 2.829 DIIUnin.pif
16.07.2007 22:27 102.400 DIIUnin.exe
14.07.2007 02:28 216 wiadebug.log
13.07.2007 14:03 50 wiaservc.log
10.07.2007 15:34 754 WORDPAD.INI
04.07.2007 16:44 6.966 EPSTPLOG.TXT
04.07.2007 16:43 10.732 EPSTPLOG.BAK
30.06.2007 23:33 23 BlendSettings.ini

221 Datei(en) 18.897.518 Bytes
0 Verzeichnis(se), 78.986.895.360 Bytes frei

----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\system

*edit* keine jüngeren Datums

28 Datei(en) 2.322.939 Bytes
0 Verzeichnis(se), 78.986.883.072 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\system32

21.07.2007 20:18 6.528 pstwa.ini
21.07.2007 20:17 6.528 pstwa.bak1
21.07.2007 20:17 266.336 awtsp.dll
21.07.2007 20:12 0 nvapps.xml
21.07.2007 19:28 66.112 alnhmxwf.exe
21.07.2007 19:27 3.002 CONFIG.NT
20.07.2007 19:03 2.550 Uninstall.ico
20.07.2007 19:03 1.406 Help.ico
20.07.2007 19:03 30.590 pavas.ico
20.07.2007 18:46 2.422 wpa.dbl
19.07.2007 18:37 143 mcrh.tmp
17.07.2007 21:45 43.520 CmdLineExt03.dll
17.07.2007 18:45 401.200 perfh009.dat
17.07.2007 18:45 62.480 perfc009.dat
17.07.2007 18:45 415.800 perfh007.dat
17.07.2007 18:45 75.194 perfc007.dat
17.07.2007 18:45 927.790 PerfStringBackup.INI
16.07.2007 22:29 21.840 SIntfNT.dll
16.07.2007 22:29 17.212 SIntf32.dll
16.07.2007 22:29 12.067 SIntf16.dll
16.07.2007 22:14 31.254 fccddba.dll
28.06.2007 09:57 16.256.984 MRT.exe

2019 Datei(en) 469.690.411 Bytes
0 Verzeichnis(se), 78.986.702.848 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\Prefetch

21.07.2007 20:18 10.802 FIND.EXE-0EC32F1E.pf
21.07.2007 20:18 11.968 CMD.EXE-087B4001.pf
21.07.2007 20:18 16.024 VERCLSID.EXE-3667BD89.pf
21.07.2007 20:18 19.598 NOTEPAD.EXE-336351A9.pf
21.07.2007 20:17 30.572 WMIPRVSE.EXE-28F301A9.pf
21.07.2007 20:17 18.184 RUNDLL32.EXE-1A168815.pf
21.07.2007 20:13 42.588 WUAUCLT.EXE-399A8E72.pf
21.07.2007 20:13 16.918 FSBL.EXE-23DF885B.pf
21.07.2007 20:13 69.400 NMIndexStoreSvr.exe-1DBCF9FD.pf
21.07.2007 20:13 54.144 TEATIMER.EXE-38E505A8.pf
21.07.2007 20:13 24.450 CPQEADM.EXE-3284575E.pf
21.07.2007 20:13 13.340 CTFMON.EXE-0E17969B.pf
21.07.2007 20:13 13.868 BTTNSERV.EXE-156C663E.pf
21.07.2007 20:13 8.200 EAUSBKBD.EXE-0920B492.pf
21.07.2007 20:13 22.194 RUNDLL32.EXE-1340EF7F.pf
21.07.2007 20:13 10.896 E_SRCV02.EXE-38296430.pf
21.07.2007 20:13 23.276 ASHDISP.EXE-0B874892.pf
21.07.2007 20:13 11.172 STARTEAK.EXE-00BF6873.pf
21.07.2007 20:13 19.238 ISUSPM.EXE-01DE8D55.pf
21.07.2007 20:13 6.040 ELBYCHECK.EXE-3A006F68.pf
21.07.2007 20:13 9.618 NEROCHECK.EXE-1BD71082.pf
21.07.2007 20:13 11.800 NWIZ.EXE-2D0F9FBC.pf
21.07.2007 20:13 5.410 ISSCH.EXE-13FD372D.pf
21.07.2007 20:13 6.096 ELBYCHECK.EXE-053A2F7D.pf
21.07.2007 20:08 14.120 REGEDIT.EXE-1B606482.pf
21.07.2007 20:07 8.880 VUNDOFIXSVC.EXE-18ADD79E.pf
21.07.2007 20:04 47.222 FDM.EXE-0654E435.pf
21.07.2007 20:01 128.280 SPYBOTSD.EXE-1D495A65.pf
21.07.2007 20:01 88.030 VUNDOFIX.EXE-293F1E5F.pf
21.07.2007 20:00 121.408 IEXPLORE.EXE-2CA9778D.pf
21.07.2007 19:58 23.952 AGENT.EXE-241FAAD9.pf
21.07.2007 19:58 15.302 RUNDLL32.EXE-1D5BB77F.pf
21.07.2007 19:55 18.780 LOGONUI.EXE-0AF22957.pf
21.07.2007 19:41 476.170 Layout.ini
21.07.2007 19:30 17.624 AIQCOEAB.EXE-386A33C7.pf
21.07.2007 19:28 23.318 SETUP.OVR-10EB9DE2.pf
21.07.2007 19:28 2.980 ALNHMXWF.EXE-027E6313.pf
21.07.2007 19:28 84.774 AVAST.SETUP-2B043760.pf
21.07.2007 19:28 36.832 ZLCLIENT.EXE-0120F620.pf
21.07.2007 19:28 9.862 ALG.EXE-0F138680.pf
21.07.2007 19:28 9.640 SMAX4.EXE-2B732B8E.pf
21.07.2007 19:28 10.188 JMRAIDTOOL.EXE-0AB45CB7.pf
21.07.2007 19:28 10.828 LSSRVC.EXE-164808EA.pf
21.07.2007 19:28 16.636 RUNDLL32.EXE-415F88EC.pf
21.07.2007 19:28 11.774 SAGENT2.EXE-0A48E8D9.pf
21.07.2007 19:28 17.018 RUNDLL32.EXE-35A483DA.pf
21.07.2007 19:28 17.902 SMAX4PNP.EXE-20FE952A.pf
21.07.2007 19:28 20.606 NVSVC32.EXE-1F9EED18.pf
21.07.2007 19:28 6.928 WDFMGR.EXE-2CF4013B.pf
21.07.2007 19:28 11.212 SPOOLSV.EXE-282F76A7.pf
21.07.2007 19:28 14.260 RUNDLL32.EXE-1857459C.pf
20.07.2007 23:34 16.288 RUNDLL32.EXE-1563D503.pf
20.07.2007 23:32 16.710 RUNDLL32.EXE-2E5AF1D7.pf
20.07.2007 23:24 9.850 FXC.EXE-10F6BA57.pf
20.07.2007 23:21 17.578 RUNDLL32.EXE-2A94BB85.pf
20.07.2007 23:21 51.920 FARCRY.EXE-2F788C38.pf
20.07.2007 23:21 11.534 FARCRYCONFIGURATOR.EXE-04761E72.pf
20.07.2007 22:05 86.142 CLIENT.EXE-191C16E3.pf
20.07.2007 22:04 81.318 RAZOR.EXE-0C3AB9EC.pf
20.07.2007 21:41 22.520 TASKMGR.EXE-20256C55.pf
20.07.2007 21:40 17.712 ~F1D055.TMP-2A7E7D5F.pf
20.07.2007 21:40 33.244 GAME.EXE-2E0DA7C1.pf
20.07.2007 21:40 16.878 IC_MAFTRN.EXE-2317FCA8.pf
20.07.2007 21:39 16.844 MAFIALAUNCHER.EXE-2A176248.pf
20.07.2007 21:38 11.510 RUNDLL32.EXE-451FC2C0.pf
20.07.2007 20:56 30.746 D2LOADER-1.11B.EXE-355DEB8D.pf
20.07.2007 20:52 60.064 UPDCLIENT.EXE-215FC96B.pf
20.07.2007 20:51 21.224 D2L_PLAYD2.EXE-065DC45E.pf
20.07.2007 20:51 14.120 SETUP.EXE-393E66AE.pf
20.07.2007 20:36 19.984 NMBGMONITOR.EXE-0BC10095.pf
20.07.2007 20:36 27.056 ASHWEBSV.EXE-091EF0CF.pf
20.07.2007 20:29 15.610 HJDIS.EXE-03B0A74D.pf
20.07.2007 20:22 65.006 TSC.EXE-02CB3713.pf
20.07.2007 19:07 85.656 PATCH.EXE-2791181B.pf
20.07.2007 19:05 19.988 IPCONFIG.EXE-2395F30B.pf
20.07.2007 18:06 18.256 WUPDMGR.EXE-2F30BEAB.pf
20.07.2007 18:04 63.482 REGCLEAN.EXE-1F9579EB.pf
20.07.2007 17:47 17.952 RUNDLL32.EXE-2016D453.pf
20.07.2007 17:32 24.196 DWWIN.EXE-30875ADC.pf
20.07.2007 17:32 20.846 DUMPREP.EXE-1B46F901.pf
20.07.2007 15:29 17.758 WMIAPSRV.EXE-1E2270A5.pf
20.07.2007 15:29 69.144 UPDATER.EXE-03A0250D.pf
20.07.2007 15:26 292.760 SHREDDER.EXE-31709A48.pf
20.07.2007 15:09 49.296 NERO.EXE-2031B565.pf
20.07.2007 15:07 26.228 NEROSTARTSMART.EXE-0A488AA3.pf
20.07.2007 15:05 54.042 WMPLAYER.EXE-09969338.pf
20.07.2007 15:03 12.094 MP3DIRECTCUT.EXE-35F8F670.pf
20.07.2007 14:50 13.040 WINAMP.EXE-08C38ED9.pf
20.07.2007 14:43 55.274 WINRAR.EXE-3588DFE8.pf
20.07.2007 14:24 17.530 DRWTSN32.EXE-2B4B52AC.pf
20.07.2007 14:24 19.568 RUNDLL32.EXE-2DC135B5.pf
20.07.2007 14:19 10.886 JUSCHED.EXE-00566548.pf
19.07.2007 21:42 26.322 MSMSGS.EXE-32066BA5.pf
19.07.2007 21:42 30.980 MSIMN.EXE-0B61806C.pf
19.07.2007 21:42 55.102 ICQLITE.EXE-2AEFACA7.pf
19.07.2007 12:14 45.536 WGATRAY.EXE-0ED38BED.pf
97 Datei(en) 4.447.908 Bytes
0 Verzeichnis(se), 78.986.768.384 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\tasks

21.07.2007 20:12 6 SA.DAT
28.02.2006 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 78.986.776.576 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\Temp

21.07.2007 20:17 16.384 Perflib_Perfdata_cf4.dat
21.07.2007 20:12 16.384 Perflib_Perfdata_728.dat
21.07.2007 20:11 256 ZLT03f54.TMP
21.07.2007 20:11 256 ZLT02db6.TMP
21.07.2007 20:09 16.384 Perflib_Perfdata_714.dat
21.07.2007 20:09 256 ZLT0432b.TMP
21.07.2007 20:09 256 ZLT02c0a.TMP
21.07.2007 19:57 256 ZLT045c8.TMP
21.07.2007 19:57 256 ZLT02265.TMP
20.07.2007 17:46 16.384 Perflib_Perfdata_738.dat
20.07.2007 17:46 256 ZLT032b9.TMP
20.07.2007 17:46 256 ZLT07037.TMP
20.07.2007 17:31 16.384 Perflib_Perfdata_748.dat
20.07.2007 17:26 256 ZLT06165.TMP
20.07.2007 17:26 256 ZLT06161.TMP
20.07.2007 14:30 256 ZLT015ce.TMP
20.07.2007 14:30 256 ZLT0656d.TMP
20.07.2007 14:26 256 ZLT056ed.TMP
20.07.2007 14:26 256 ZLT056ea.TMP
20.07.2007 14:24 16.384 Perflib_Perfdata_ce8.dat
20.07.2007 14:18 16.384 Perflib_Perfdata_744.dat
20.07.2007 14:18 256 ZLT05129.TMP
20.07.2007 14:18 256 ZLT05125.TMP
19.07.2007 21:41 16.384 Perflib_Perfdata_754.dat
19.07.2007 21:41 256 ZLT05605.TMP
19.07.2007 21:41 256 ZLT05602.TMP
19.07.2007 20:02 16.384 Perflib_Perfdata_720.dat
19.07.2007 20:02 256 ZLT010fe.TMP
19.07.2007 20:02 256 ZLT00a33.TMP
19.07.2007 18:53 16.384 Perflib_Perfdata_74c.dat
19.07.2007 18:52 256 ZLT0551f.TMP
19.07.2007 18:52 256 ZLT0551c.TMP
19.07.2007 15:35 255 WGAErrLog.txt
19.07.2007 14:21 409 WGANotify.settings
19.07.2007 14:20 256 ZLT00474.TMP
19.07.2007 14:20 256 ZLT00471.TMP
19.07.2007 14:03 16.384 Perflib_Perfdata_774.dat
19.07.2007 14:03 256 ZLT07723.TMP
19.07.2007 14:03 256 ZLT077a3.TMP
19.07.2007 12:11 16.384 Perflib_Perfdata_84.dat
18.07.2007 17:58 256 ZLT00c11.TMP
18.07.2007 17:58 256 ZLT05d5a.TMP
18.07.2007 17:54 16.384 Perflib_Perfdata_72c.dat
18.07.2007 17:54 256 ZLT059ef.TMP
18.07.2007 17:54 256 ZLT059eb.TMP
18.07.2007 17:48 256 ZLT055c3.TMP
18.07.2007 17:48 256 ZLT055c0.TMP
18.07.2007 13:09 256 ZLT063d7.TMP
18.07.2007 13:09 256 ZLT07fd4.TMP
18.07.2007 01:39 256 ZLT0701e.TMP
18.07.2007 01:39 256 ZLT0701b.TMP
17.07.2007 22:01 16.384 Perflib_Perfdata_780.dat
17.07.2007 22:01 256 ZLT04948.TMP
17.07.2007 22:01 256 ZLT04944.TMP
17.07.2007 18:51 16.384 Perflib_Perfdata_770.dat
17.07.2007 18:49 6.019 NetFxUpdate_v1.1.4322.log
17.07.2007 18:07 16.384 Perflib_Perfdata_9fc.dat
17.07.2007 18:04 256 ZLT01377.TMP
17.07.2007 18:04 256 ZLT01374.TMP
16.07.2007 16:46 256 ZLT00470.TMP
16.07.2007 16:46 256 ZLT009f1.TMP
15.07.2007 17:52 256 ZLT06fee.TMP
15.07.2007 17:52 256 ZLT06e1b.TMP
15.07.2007 17:43 256 ZLT0771e.TMP
15.07.2007 17:43 256 ZLT06793.TMP
15.07.2007 17:38 256 ZLT001bd.TMP
15.07.2007 17:38 256 ZLT06360.TMP
13.07.2007 13:33 256 ZLT00bf1.TMP
13.07.2007 13:33 256 ZLT00bed.TMP
12.07.2007 16:52 256 ZLT06d32.TMP
12.07.2007 16:52 256 ZLT0559b.TMP
12.07.2007 16:40 256 ZLT00684.TMP
12.07.2007 16:40 256 ZLT04d23.TMP
12.07.2007 16:27 256 ZLT0457f.TMP
12.07.2007 16:27 256 ZLT04329.TMP
11.07.2007 16:36 256 ZLT040d4.TMP
11.07.2007 16:36 256 ZLT07bda.TMP
11.07.2007 16:29 256 ZLT0767b.TMP
11.07.2007 16:29 256 ZLT07678.TMP
10.07.2007 19:34 256 ZLT02817.TMP
10.07.2007 19:34 256 ZLT035a6.TMP
10.07.2007 16:50 256 ZLT067c8.TMP
10.07.2007 16:50 256 ZLT03886.TMP
10.07.2007 13:50 256 ZLT02e32.TMP
10.07.2007 13:50 256 ZLT02e2f.TMP
10.07.2007 13:46 256 ZLT00540.TMP
10.07.2007 13:46 256 ZLT02b40.TMP
10.07.2007 13:43 256 ZLT02928.TMP
10.07.2007 13:43 256 ZLT02925.TMP
09.07.2007 19:37 256 ZLT03c56.TMP
09.07.2007 19:37 256 ZLT069e0.TMP
09.07.2007 19:13 256 ZLT02a33.TMP
09.07.2007 19:13 256 ZLT057d3.TMP
09.07.2007 19:10 256 ZLT05d02.TMP
09.07.2007 19:10 256 ZLT05546.TMP
09.07.2007 14:21 256 ZLT0484e.TMP
09.07.2007 14:21 256 ZLT0782f.TMP
08.07.2007 18:15 256 ZLT05c17.TMP
08.07.2007 18:15 256 ZLT05d1f.TMP
08.07.2007 14:41 256 ZLT06eda.TMP
08.07.2007 14:41 256 ZLT038dc.TMP
07.07.2007 18:15 256 ZLT00f14.TMP
07.07.2007 18:15 256 ZLT00f11.TMP
07.07.2007 18:11 256 ZLT03218.TMP
07.07.2007 18:11 256 ZLT00c1e.TMP
07.07.2007 18:07 256 ZLT05781.TMP
07.07.2007 18:07 256 ZLT00905.TMP
07.07.2007 13:41 256 ZLT01b84.TMP
07.07.2007 13:41 256 ZLT03d75.TMP
07.07.2007 13:36 256 ZLT06dda.TMP
07.07.2007 13:36 256 ZLT03984.TMP
06.07.2007 20:38 256 ZLT05124.TMP
06.07.2007 20:38 256 ZLT02e7b.TMP
06.07.2007 20:34 256 ZLT030e0.TMP
06.07.2007 20:34 256 ZLT02b17.TMP
06.07.2007 13:23 256 ZLT060ef.TMP
06.07.2007 13:23 256 ZLT060ec.TMP
05.07.2007 21:44 256 ZLT044ce.TMP
05.07.2007 21:44 256 ZLT0127e.TMP
05.07.2007 16:14 256 ZLT03898.TMP
05.07.2007 16:14 256 ZLT01610.TMP
04.07.2007 19:49 256 ZLT05a82.TMP
04.07.2007 19:49 256 ZLT06c58.TMP
04.07.2007 19:45 256 ZLT06976.TMP
04.07.2007 19:45 256 ZLT06973.TMP
04.07.2007 19:43 256 ZLT0736b.TMP
04.07.2007 19:43 256 ZLT067e1.TMP
04.07.2007 19:39 256 ZLT0608d.TMP
04.07.2007 19:39 256 ZLT06509.TMP
04.07.2007 15:51 16.384 Perflib_Perfdata_664.dat
04.07.2007 15:51 256 ZLT07efe.TMP
04.07.2007 15:51 256 ZLT03629.TMP
03.07.2007 16:03 256 ZLT07143.TMP
03.07.2007 16:03 256 ZLT07140.TMP
02.07.2007 13:16 256 ZLT03f7b.TMP
02.07.2007 13:16 256 ZLT02308.TMP
02.07.2007 13:11 256 ZLT01f6c.TMP
02.07.2007 13:11 256 ZLT01f69.TMP
30.06.2007 21:22 256 ZLT07fb9.TMP
30.06.2007 21:22 256 ZLT07ad6.TMP
30.06.2007 20:58 256 ZLT068bd.TMP
30.06.2007 20:58 256 ZLT068b9.TMP
30.06.2007 20:43 256 ZLT07409.TMP
30.06.2007 20:43 256 ZLT05d79.TMP
30.06.2007 18:35 256 ZLT0764f.TMP
30.06.2007 18:35 256 ZLT07b16.TMP
29.06.2007 17:40 256 ZLT0495d.TMP
29.06.2007 17:40 256 ZLT002f5.TMP
29.06.2007 17:26 256 ZLT0031d.TMP
29.06.2007 17:26 256 ZLT07848.TMP
29.06.2007 17:11 256 ZLT017dc.TMP
29.06.2007 17:11 256 ZLT06cb3.TMP
28.06.2007 14:30 256 ZLT060a7.TMP
28.06.2007 14:30 256 ZLT02382.TMP
28.06.2007 14:28 256 ZLT021c6.TMP
28.06.2007 14:28 256 ZLT021c2.TMP
27.06.2007 22:05 256 ZLT0178c.TMP
27.06.2007 22:05 256 ZLT031cc.TMP
27.06.2007 21:48 256 ZLT0665f.TMP
27.06.2007 21:48 256 ZLT02453.TMP
27.06.2007 21:36 256 ZLT01ba0.TMP
27.06.2007 21:36 256 ZLT01b9d.TMP
27.06.2007 16:13 256 ZLT032a0.TMP
27.06.2007 16:13 256 ZLT023d6.TMP
27.06.2007 13:32 256 ZLT01db1.TMP
27.06.2007 13:32 256 ZLT02919.TMP
26.06.2007 21:00 256 ZLT03d59.TMP
26.06.2007 21:00 256 ZLT031b9.TMP
26.06.2007 20:24 256 ZLT01660.TMP
26.06.2007 20:24 256 ZLT0165c.TMP
26.06.2007 19:54 256 ZLT07f42.TMP
26.06.2007 19:54 256 ZLT07f3f.TMP
26.06.2007 19:45 256 ZLT07883.TMP
26.06.2007 19:45 256 ZLT07880.TMP
26.06.2007 19:43 256 ZLT03030.TMP
26.06.2007 19:43 256 ZLT076cd.TMP
26.06.2007 19:26 256 ZLT069fb.TMP
26.06.2007 19:26 256 ZLT069f8.TMP
25.06.2007 17:24 256 ZLT00695.TMP
25.06.2007 17:24 256 ZLT03dd9.TMP
25.06.2007 16:05 256 ZLT05a8c.TMP
25.06.2007 16:05 256 ZLT001e8.TMP
25.06.2007 16:04 256 ZLT0358b.TMP
25.06.2007 16:04 256 ZLT00100.TMP
24.06.2007 19:37 256 ZLT00b68.TMP
24.06.2007 19:37 256 ZLT05583.TMP
24.06.2007 13:31 256 ZLT04aea.TMP
24.06.2007 13:31 256 ZLT03e13.TMP
23.06.2007 16:52 256 ZLT00935.TMP
23.06.2007 16:52 256 ZLT00931.TMP
23.06.2007 16:48 256 ZLT0062f.TMP
23.06.2007 16:48 256 ZLT0062b.TMP
23.06.2007 15:06 256 ZLT037f0.TMP
23.06.2007 15:05 256 ZLT037ec.TMP
22.06.2007 20:45 256 ZLT0219d.TMP
22.06.2007 20:45 256 ZLT06d7b.TMP
22.06.2007 14:15 256 ZLT0301b.TMP
22.06.2007 14:15 256 ZLT042f9.TMP
22.06.2007 14:06 16.384 Perflib_Perfdata_704.dat
22.06.2007 14:05 256 ZLT0341b.TMP
22.06.2007 14:05 256 ZLT03bb4.TMP
21.06.2007 22:51 256 ZLT01023.TMP
21.06.2007 22:51 256 ZLT07ff6.TMP
21.06.2007 21:44 256 ZLT04cd2.TMP
21.06.2007 21:44 256 ZLT04c74.TMP
21.06.2007 21:31 256 ZLT02fa8.TMP
21.06.2007 21:31 256 ZLT0429b.TMP
21.06.2007 16:02 256 ZLT0471b.TMP
21.06.2007 16:02 256 ZLT04718.TMP
21.06.2007 15:53 256 ZLT01e61.TMP
21.06.2007 15:53 256 ZLT03fdf.TMP

485 Datei(en) 2.349.595 Bytes
0 Verzeichnis(se), 78.986.735.616 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\DOKUME~1\xxx\LOKALE~1\Temp

21.07.2007 20:17 26.690 jusched.log
21.07.2007 20:09 32.768 ~DF4839.tmp
21.07.2007 20:01 32.768 ~DF959C.tmp
21.07.2007 20:01 49.152 ~DF333.tmp
20.07.2007 20:30 32.768 ~DF9845.tmp
20.07.2007 19:05 624 java_install_reg.log
20.07.2007 19:03 49.152 ~DF187E.tmp
20.07.2007 15:28 16.384 ~DF7777.tmp
20.07.2007 14:27 32.768 ~DFDC4F.tmp
20.07.2007 01:36 32.768 ~DFD909.tmp
19.07.2007 19:49 32.768 ~DFA4E7.tmp
19.07.2007 14:49 77.509 Undo BASIS 20070719 144919.Reg
19.07.2007 14:30 49.152 ~DFBC36.tmp
19.07.2007 14:13 49.152 ~DF734.tmp
19.07.2007 14:12 32.768 ~DF65F7.tmp
18.07.2007 23:25 24.748 SIntfNT.dll
18.07.2007 23:25 20.020 SIntf32.dll
18.07.2007 23:25 12.305 SIntf16.dll
18.07.2007 20:26 16.384 ~DF291B.tmp
18.07.2007 17:55 32.768 ~DF84DE.tmp
18.07.2007 01:39 32.768 ~DF4728.tmp
18.07.2007 01:36 32.768 ~DF11D3.tmp
17.07.2007 23:51 49.152 ~DF2E58.tmp
17.07.2007 18:48 14.913 netfxsl.log
17.07.2007 18:48 1.547 NetFxUpdate_v1.1.4322.log
17.07.2007 18:45 5.012 ASPNETSetup_00000.log
17.07.2007 18:13 49.152 ~DF368B.tmp
16.07.2007 22:27 74 Install.log
16.07.2007 22:14 49.152 ~DF9230.tmp
15.07.2007 20:53 4.592 SIntfIcn.ani
13.07.2007 14:03 3 Twain001.Mtx
26.06.2007 20:26 126.976 ~27.tmp
87 Datei(en) 28.466.540 Bytes
0 Verzeichnis(se), 78.986.747.904 Bytes frei
__________________
Alt 21.07.2007, 19:33   #4
lalarama
 
Vundo - Standard

Vundo


Da leider nicht alles in einen Antwort Post gepasst hat (> 25000 Zeichen ) hier noch ein weiterer Post wegen Blacklight

Zitat:
Zitat von nochdigger Beitrag anzeigen
Lade dir auch Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log

MFG
Auch das habe ich natürlich gemacht. Hat nichts gefunden.
Hier das entsprechende Log

Zitat:
07/21/07 20:13:08 [Info]: BlackLight Engine 1.0.64 initialized
07/21/07 20:13:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/21/07 20:13:08 [Note]: 7019 4
07/21/07 20:13:08 [Note]: 7005 0
07/21/07 20:13:14 [Note]: 7006 0
07/21/07 20:13:14 [Note]: 7011 1660
07/21/07 20:13:14 [Note]: 7026 0
07/21/07 20:13:14 [Note]: 7026 0
07/21/07 20:13:18 [Note]: FSRAW library version 1.7.1022
07/21/07 20:18:14 [Note]: 7007 0

Alt 21.07.2007, 20:42   #5
irrlicht
 
Vundo - Standard

Vundo


Hallo,
wir nutzen mal Spybot S&D fürs erste...

Programm öffnen >oben > Modus einstellen auf "erweitert" und bestätigen...
unten links > Werkzeuge ,suche nach > resident
> beide Haken raus

suche nach > BHO
folgende löscht du,sofern vorhanden :
Zitat:
O2 - BHO: (no name) - {C4CDEC68-C640-4310-AE5F-A3342F52C209} - C:\WINDOWS\system32\ddabx.dll (file missing)
O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\fccddba.dll
O2 - BHO: (no name) - {E7EA9AC8-BF6C-40AE-94C3-C92CB52AF97D} - C:\WINDOWS\system32\gebcy.dll
Sollten sich die Dinger nicht finden lassen,nutze die Suchfunktion .
start > "suchen " gib ein : fccddba.dll
löschen wenn gefunden
verfahre ebenso mit den beiden anderen:gebcy.dll und :ddabx.dll
Hast du das erledigt folge dieser Anleitung :http://www.trojaner-board.de/30411-a...-von-zlob.html
Mache es bitte in einem Rutsch ,ohne Neustart.
Berichte
Irrlicht


Alt 21.07.2007, 23:01   #6
lalarama
 
Vundo - Standard

Vundo


Sooo
Habe wie gewünscht versucht die Dateien zu löschen.
Search And Destroy hat keine der drei gefunden, Hijack This konnte 2 der 3 löschen. Bis auf die fccddba.dll ging alles wunderbar.
Diese konnte ich nur per Reperaturkonsole meiner Windows CD killen, da ich ständig die Botschaft bekommen habe "wird verwendet...."

Danach habe ich SmitfraudFix.exe durchlaufen lassen. Er hat leider nichts gefunden.

Vundofix hat gerade eben bei meinem ersten Durchlauf seither nichts gefunden. Ich hoffe mal dass es so bleibt
Werde morgen nach einiger Inet Aktivität einen neuen Check laufen lassen.

In jedem Fall schonmal Danke

Melde mich morgen nochmal bzw heute

Alt 22.07.2007, 10:04   #7
nochdigger
 
Vundo - Standard

Vundo


Moin

Zitat:
Danach habe ich SmitfraudFix.exe durchlaufen lassen. Er hat leider nichts gefunden.
Nein wir sind froh, dass nix gefunden wurde

Zitat:
Vundofix hat gerade eben bei meinem ersten Durchlauf seither nichts gefunden.
Das freut uns, dass nichts gefunden wurde...

Lade dir den Ccleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
anschließend erstelle nochmal mit der Filelist einen Überblick nur über den Ordner C:\WINDOWS\system32\ der letzten 30 Tage und poste ihn, da stecken vermutlich noch Reste von Vundo.

MFG

Alt 22.07.2007, 13:23   #8
lalarama
 
Vundo - Standard

Vundo


Vundofix hat heute nach einiger Web Aktivität immernoch nichts gefunden (Schweiß von der Strin wisch).

CCleaner habe ich durchlaufen lassen. Musste aber fast nix machen, da ich sämtliche Temporär Dateien sowie auch die Systemwiederherstellung etc wegen der Vundo Entfernung schon gesäubert hatte.

Hier nochmal die System32 Aktivitäten
Zitat:
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08B2-72C7

Verzeichnis von C:\WINDOWS\system32

22.07.2007 14:04 0 nvapps.xml
21.07.2007 23:03 0 tmp.txt
21.07.2007 23:03 2.704 tmp.reg
21.07.2007 20:36 43.520 CmdLineExt03.dll
21.07.2007 19:27 3.002 CONFIG.NT
20.07.2007 19:03 2.550 Uninstall.ico
20.07.2007 19:03 1.406 Help.ico
20.07.2007 19:03 30.590 pavas.ico
20.07.2007 18:46 2.422 wpa.dbl
19.07.2007 18:37 143 mcrh.tmp
17.07.2007 18:45 401.200 perfh009.dat
17.07.2007 18:45 62.480 perfc009.dat
17.07.2007 18:45 415.800 perfh007.dat
17.07.2007 18:45 75.194 perfc007.dat
17.07.2007 18:45 927.790 PerfStringBackup.INI
16.07.2007 22:29 21.840 SIntfNT.dll
16.07.2007 22:29 17.212 SIntf32.dll
16.07.2007 22:29 12.067 SIntf16.dll
11.07.2007 16:59 139.776 swreg.exe
28.06.2007 09:57 16.256.984 MRT.exe

Die einzige mir suspekte Eintragung ist die CmdLineExt03.dll
Aber laut Web CmdLineExt03.dll Windows process - What is it?
soll sie Teil von Copy Protection sein (Diablo II habe ich tatsächlich vor kurzem installiert).
Ist da noch was zu sehen?


Ich glaube so langsam, dass die 2 Hauptübeltäter bei der Sache eine Datei WGAtray.irgendwas (welche ich mal irgendwann zugelassen habe weil ich dachte das sei die Authentifizierung des Windows Updaters) sowie die fccddba.dll waren.

Alt 22.07.2007, 14:56   #9
nochdigger
 
Vundo - Standard

Vundo


Hallo

Zitat:
Vundofix hat heute nach einiger Web Aktivität immernoch nichts gefunden
sehr schön

Lösche per Hand bitte noch
Code:
ATTFilter
mcrh.tmp
tmp.txt
tmp.reg
anschließend leere den Mülleimer.

Ich würde noch gern ein neues HijackThis Log sehen, da sind vermutlich noch einige Dinge zu löschen wenn noch nicht geschehen.

MFG

Alt 22.07.2007, 15:32   #10
lalarama
 
Vundo - Standard

Vundo


Et Voila
Einmal der normale Scan

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:20:58, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Hijack This\HJdis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] E:\pcrepairsystem\Eraser\eraser.exe -hide
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184690203937
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{770CDEC8-13CB-4E0C-9954-576BAE93D81C}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
und der startup log
Zitat:
StartupList report, 22.07.2007, 16:24:05
StartupList version: 1.52.2
Started from : C:\Programme\Hijack This\HJdis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijack This\HJdis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMAXPnP = C:\Programme\Analog Devices\Core\smax4pnp.exe
SoundMAX = "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
nwiz = nwiz.exe /install
NeroFilterCheck = C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
CPQEASYACC = C:\Programme\Compaq\Easy Access Button Support\StartEAK.exe
CloneDVDElbyDelay = "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
ElbyCheckAnyDVD = "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
ISUSPM Startup = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
ISUSScheduler = "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
ZoneAlarm Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
SunJavaUpdateSched = "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
Eraser = E:\pcrepairsystem\Eraser\eraser.exe -hide

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programme\Free Download Manager\iefdmcks.dll - {CC59E0F9-7E43-44FA-9FAA-8377850BF205}

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184690203937

[GameLauncher Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\GAMELA~1.OCX
CODEBASE = http://www.acclaim.com/cabs/acclaim_v5.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx
CODEBASE = https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\xxx\Cookies\index.dat||C:\DOKUME~1\xxx\LOKALE~1\Temp\~ef7194.tmp||C:\DOKUME~1\xxx\LOKALE~1\Temp\~ef7194.tmp||C:\DOKUME~1\xxx\LOKALE~1\Temp \~ef7194.tmp||C:\DOKUME~1\xxx\LOKALE~1\Temp\~ef7194.tmp||C:\DOKUME~1\xxx\LOKALE~1\Temp\~ef7194.tmp||C:\DOKUME~1\xxx\LOKALE~1\Temp\~ef7194.tmp|||\

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 6.880 bytes
Report generated in 0,015 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Alt 22.07.2007, 18:10   #11
nochdigger
 
Vundo - Standard

Vundo


Hallo

mit der Startuplist kann ich nicht so viel anfangen (evtl. sagt da noch jemand anderes was zu) dein Log sieht m.M. aber sauber aus.
Die WGA wird dir vmtl. beim nächsten Windowsupdate erneut begegnen.

Zwei Fragen noch :
Hast du evtl. 2 Firewalls laufen?
Gibt es noch Meldungen/Probleme?

MFG

Alt 22.07.2007, 22:13   #12
lalarama
 
Vundo - Standard

Vundo


Das mit dem WGA war eine seltsame Sache. Normal kenne ich WGA nur vom updaten. Was ich meinte war, dass WGAtray.irgendwas sich mal gemeldet hatte ohne dass ich irgendwelche Updates etc an dem Tag gemacht habe (ich habe Automatische Updates generell aus, lasse es aber regelmäßig updaten, wenn ich weiß, dass neue Updates da und sie bugfrei sind).

2 Firewalls habe ich nicht laufen. Nur das normale Zonealarm. Jedoch bin ich momentan nicht sicher nach dem was ich gelesen habe, ob ich nicht doch leiber auf die normale sp2 firewall umsteigen sollte.
Auch dem Avast Virenscanner traue ich mometan nicht mehr so ganz.
Habe den ursprünglich genommen weil er gegenüber Avira Antivir Emails auch überprüfen kann. Ich trauere immernoch meiner Norman Internet Security Lizenz nach

Meldungen oder Probleme wie Popups etc. habe ich nicht. Fremde Prozesse kann ich auch keine mehr in diversen Taskprogrammen sehen. Meine CPU Auslastung ist zwischen 0 und 5 Prozent. Würde sagen es ist alles soweit wieder wie es sein soll.

Erneut nochmal Danke für die Mühe das alles mit mir durchzugehen.

Alt 22.07.2007, 22:25   #13
nochdigger
 
Vundo - Standard

Vundo


Hallo

wenn du Norman nicht mehr installiert hast, dann kannst du diesen Eintrag mit HijackThis fixen :
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE (file missing)

Wenn du keine Staatsgeheimnisse auf dem Rechner hast, kannst du auf eine Firewall ganz verzichten, ein Großteil der Helfer hier am Board verzichtet auf eine PFW und teilweise sogar auf Antivirensoftware und das kann man auch, wenn man sich richtig verhält

Zitat:
Meldungen oder Probleme wie Popups etc. habe ich nicht. Fremde Prozesse kann ich auch keine mehr in diversen Taskprogrammen sehen. Meine CPU Auslastung ist zwischen 0 und 5 Prozent. Würde sagen es ist alles soweit wieder wie es sein soll.
sehr schön

MFG

Antwort

Themen zu Vundo
anfang, antivirus, avast, avast!, bho, browser, cs3, download, drivers, einstellungen, explorer, free download, hijackthis, home, hängen, laufzeit, logfile, löschen, norman, nvidia, object, popups, programme, regclean, registry, registry key, registry value, rundll, saver, scan, screensaver, shockwave, software, system, tan, trend micro, träge, userinit.exe, vundo, ändern


« Brauche ganz schnell Hilfe | Ich bin neu und unerfahren »


Ähnliche Themen: Vundo


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  6. tr/vundo.gen
    Log-Analyse und Auswertung - 03.07.2008 (9)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gj
    Log-Analyse und Auswertung - 06.05.2008 (27)
  14. TR/Vundo.gen
    Log-Analyse und Auswertung - 05.05.2008 (14)
  15. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  16. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Vundo - Hallo Wie so mancher die sich hier an dieses Board wenden, kämpfe auch ich momentan einen erbitterten Kampf gegen Vundo und Konsorten und weiß momentan auch nicht weiter, weshalb ich - Vundo...
Archiv
Du betrachtest: Vundo auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55