hallo zusammen

ich erhalte beim starten von internetexplorer immer wieder diese popups vom titel.

könnt ihr mir helfen? beste dank!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:51, on 03.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Zattoo\Zattoo.exe
C:\Program Files\Zattoo\zattood.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/webupload...orUploader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6050 bytes

vielen dank für deine hilfe...

habs ein paar mal probiert mit vundo und immer die neu auftauchenden fils deleted. unter anderem habe ich die datei nnnomnk.dll ins textfile von vundo mit dem namen addedfiles (oder so ähnlich) im ordner vundobackup eingetragen da er diese weder erkannt hat noch löschen konnte. danach war er fähig sie zu löschen. hier die neuen logs....

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 13:33:46 04.08.2007

Listing files found while scanning....

C:\windows\system32\gdtefdqe.exe
C:\WINDOWS\system32\stutv.bak2
C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\vtuts.dll

Beginning removal...

Attempting to delete C:\windows\system32\gdtefdqe.exe
C:\windows\system32\gdtefdqe.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\stutv.bak2
C:\WINDOWS\system32\stutv.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\stutv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\vtuts.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 09:15:02 05.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yycdd.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\ddcyy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yycdd.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yycdd.ini
C:\WINDOWS\system32\yycdd.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 13:04:00 05.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\vybeg.bak1
C:\WINDOWS\system32\vybeg.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\gebyv.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\vybeg.bak1
C:\WINDOWS\system32\vybeg.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\vybeg.ini
C:\WINDOWS\system32\vybeg.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\nnnomnk.dll
C:\WINDOWS\system32\nnnomnk.dll Has been deleted!

Performing Repairs to the registry.
Done!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:33, on 05.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\HijackThis\hjt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - h**p://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - h**p://web1.photocolor.net/webupload/ActiveX/PhotocolorUploader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6420 bytes

sieht nicht schlecht aus oder...?! (vielleicht ja auch nicht)

@Kunti
Der Log sieht sauber aus. Einen Alternativbrowser? (Firefox, Opera)

ja ok, aber gibt es keine andere möglichkeit das problem aufzuspüren und zu beseitigen?
hatte da gestern ein paar virus detections durch mcafee und seit da kommen die popups...

wäre froh um eine lösung, wenn möglich ohne das system neu anzusetzen..

thx

Zitat:

Zitat von Kunti

hatte da gestern ein paar virus detections durch mcafee

Welche Viren wurden gemeldet? Wo?

Wenn im Logfile nichts steht, ist es eine gute Möglichkeit, einfach mal mit einem Spyware-Scanner zu suchen. Spybot Search & Destroy ist eine sehr gute Möglichkeit. Der Scan geht schnell und er kann nahezu alles gefundene entfernen.


Also:

*Downloadlink in meiner Signatur
*Installieren
*Öffnen
*Unter "Update" -> "Nach Updates suchen" -> gefundene Updates durch haken markieren und "Markierte Updates laden" anklicken.
*warten bis Updates geladen wurden
*"Überprüfen
*Alles Gefundene durch klicken auf "Markierte Probleme beheben" löschen lassen


Solltest du Informatiopnen zu den gefundenen Sachen wollen, kannst du durch Klicken auf das Pluszeichen vor den Einträgen ein paar Informationen einsehen.

Verfolgende Cookies sind aber nicht gefährlich, kannst du aber trotzdem löschen. Diese werden aber immer wieder gesetzt.


Dann kannst du hier posten, ob/was/wieviel du gefunden hast und ob das Problem noch besteht. danach solltest du trotzdem noch einen Escan hier posten, damit du dir sicher sein kannst, dass alles sauber ist.


Grüße.

@rene-gad

hier mal der on-access log vom mcafee ab dem 26.7.2007:

26.07.2007 07:32:44 Statistik:
26.07.2007 07:32:44 Gescannte Dateien: 53961
26.07.2007 07:32:44 Erkannte Dateien: 0
26.07.2007 07:32:44 Gesäuberte Dateien: 0
26.07.2007 07:32:44 Gelöschte Dateien: 0
26.07.2007 08:07:14 Modulversion = 5100.0194
26.07.2007 08:07:14 AntiVirus-DAT-Version = 5082.0000
26.07.2007 08:07:14 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
26.07.2007 08:07:14 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

26.07.2007 17:25:23 Statistik:
26.07.2007 17:25:23 Gescannte Dateien: 9415
26.07.2007 17:25:23 Erkannte Dateien: 0
26.07.2007 17:25:23 Gesäuberte Dateien: 0
26.07.2007 17:25:23 Gelöschte Dateien: 0
26.07.2007 20:31:48 Modulversion = 5100.0194
26.07.2007 20:31:48 AntiVirus-DAT-Version = 5082.0000
26.07.2007 20:31:48 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
26.07.2007 20:31:48 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
26.07.2007 21:15:53 Modulversion = 5100.0194
26.07.2007 21:15:53 AntiVirus-DAT-Version = 5084.0000
26.07.2007 21:15:53 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
26.07.2007 21:15:53 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

26.07.2007 22:45:13 Statistik:
26.07.2007 22:45:13 Gescannte Dateien: 10001
26.07.2007 22:45:13 Erkannte Dateien: 0
26.07.2007 22:45:13 Gesäuberte Dateien: 0
26.07.2007 22:45:13 Gelöschte Dateien: 0
27.07.2007 06:59:21 Modulversion = 5100.0194
27.07.2007 06:59:21 AntiVirus-DAT-Version = 5084.0000
27.07.2007 06:59:21 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
27.07.2007 06:59:21 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

27.07.2007 07:07:48 Statistik:
27.07.2007 07:07:48 Gescannte Dateien: 1221
27.07.2007 07:07:48 Erkannte Dateien: 0
27.07.2007 07:07:48 Gesäuberte Dateien: 0
27.07.2007 07:07:48 Gelöschte Dateien: 0
27.07.2007 10:14:17 Modulversion = 5100.0194
27.07.2007 10:14:17 AntiVirus-DAT-Version = 5084.0000
27.07.2007 10:14:17 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
27.07.2007 10:14:17 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
27.07.2007 15:39:31 Script execution blocked Micha iexplore.exe(h**p://www.adult-land.net/index_xxl.php) Script executed by iexplore.exe JS/Wonka (Trojan)
27.07.2007 15:39:33 Gelöscht *****\***** C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\3608OQG7\count[1].htm\0000001c.js JS/Wonka (Trojanisches Pferd)
27.07.2007 22:13:34 Modulversion = 5100.0194
27.07.2007 22:13:34 AntiVirus-DAT-Version = 5084.0000
27.07.2007 22:13:34 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
27.07.2007 22:13:34 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

27.07.2007 23:01:07 Statistik:
27.07.2007 23:01:07 Gescannte Dateien: 2229
27.07.2007 23:01:07 Erkannte Dateien: 0
27.07.2007 23:01:07 Gesäuberte Dateien: 0
27.07.2007 23:01:07 Gelöschte Dateien: 0
27.07.2007 23:02:42 Modulversion = 5100.0194
27.07.2007 23:02:42 AntiVirus-DAT-Version = 5084.0000
27.07.2007 23:02:42 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
27.07.2007 23:02:42 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

28.07.2007 00:08:23 Statistik:
28.07.2007 00:08:23 Gescannte Dateien: 1765
28.07.2007 00:08:23 Erkannte Dateien: 0
28.07.2007 00:08:23 Gesäuberte Dateien: 0
28.07.2007 00:08:23 Gelöschte Dateien: 0
28.07.2007 08:01:48 Modulversion = 5100.0194
28.07.2007 08:01:48 AntiVirus-DAT-Version = 5084.0000
28.07.2007 08:01:48 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
28.07.2007 08:01:48 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
28.07.2007 21:31:54 Modulversion = 5100.0194
28.07.2007 21:31:54 AntiVirus-DAT-Version = 5085.0000
28.07.2007 21:31:54 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
28.07.2007 21:31:54 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

30.07.2007 00:17:22 Statistik:
30.07.2007 00:17:22 Gescannte Dateien: 128509
30.07.2007 00:17:22 Erkannte Dateien: 0
30.07.2007 00:17:22 Gesäuberte Dateien: 0
30.07.2007 00:17:22 Gelöschte Dateien: 0
30.07.2007 06:11:53 Modulversion = 5100.0194
30.07.2007 06:11:53 AntiVirus-DAT-Version = 5085.0000
30.07.2007 06:11:53 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
30.07.2007 06:11:53 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

30.07.2007 08:55:10 Statistik:
30.07.2007 08:55:10 Gescannte Dateien: 6676
30.07.2007 08:55:10 Erkannte Dateien: 0
30.07.2007 08:55:10 Gesäuberte Dateien: 0
30.07.2007 08:55:10 Gelöschte Dateien: 0
30.07.2007 09:35:27 Modulversion = 5100.0194
30.07.2007 09:35:27 AntiVirus-DAT-Version = 5085.0000
30.07.2007 09:35:27 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
30.07.2007 09:35:27 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
30.07.2007 14:09:21 Modulversion = 5100.0194
30.07.2007 14:09:21 AntiVirus-DAT-Version = 5085.0000
30.07.2007 14:09:21 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
30.07.2007 14:09:21 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

30.07.2007 16:18:50 Statistik:
30.07.2007 16:18:50 Gescannte Dateien: 8308
30.07.2007 16:18:50 Erkannte Dateien: 0
30.07.2007 16:18:50 Gesäuberte Dateien: 0
30.07.2007 16:18:50 Gelöschte Dateien: 0
31.07.2007 06:09:53 Modulversion = 5100.0194
31.07.2007 06:09:53 AntiVirus-DAT-Version = 5085.0000
31.07.2007 06:09:53 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
31.07.2007 06:09:53 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
31.07.2007 21:14:10 Modulversion = 5100.0194
31.07.2007 21:14:10 AntiVirus-DAT-Version = 5087.0000
31.07.2007 21:14:10 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
31.07.2007 21:14:10 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
01.08.2007 14:11:36 Gelöscht *****\***** C:\Program Files\WinRAR\WinRAR.exe C:\DOCUMENTS AND SETTINGS\*****\LOCAL SETTINGS\TEMP\RAR$EX00.891\PATCH.EXE Downloader-AWM.gen (Trojanisches Pferd)
01.08.2007 14:11:36 Gelöscht *****\***** C:\Program Files\WinRAR\WinRAR.exe C:\Documents and Settings\*****\Local Settings\Temp\Rar$EX00.891\patch.exe\GenUnp Downloader-AWM.gen (Trojanisches Pferd)
01.08.2007 14:12:11 Gelöscht *****\***** C:\Program Files\WinRAR\WinRAR.exe C:\DOCUMENTS AND SETTINGS\*****\LOCAL SETTINGS\TEMP\RAR$EX04.407\PATCH.EXE Downloader-AWM.gen (Trojanisches Pferd)
01.08.2007 14:12:11 Gelöscht *****\***** C:\Program Files\WinRAR\WinRAR.exe C:\Documents and Settings\*****\Local Settings\Temp\Rar$EX04.407\patch.exe\GenUnp Downloader-AWM.gen (Trojanisches Pferd)
01.08.2007 14:12:12 Gelöscht *****\***** C:\DOCUME~1\Micha\LOCALS~1\Temp\Rar$EX04.407\crack.exe C:\DOCUMENTS AND SETTINGS\*****\LOCAL SETTINGS\TEMP\WND111.TMP BackDoor-CVT (Trojanisches Pferd)
01.08.2007 14:12:12 Gelöscht *****\***** C:\DOCUME~1\Micha\LOCALS~1\Temp\Rar$EX04.407\crack.exe C:\Documents and Settings\*****\Local Settings\Temp\wnd111.tmp BackDoor-CVT (Trojanisches Pferd)
01.08.2007 14:32:06 Gelöscht *****\***** C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\ZA86TV25\guild_wars_10.641[2].exe C:\DOCUMENTS AND SETTINGS\MICHA\DESKTOP\CRACK.EXE Downloader-AWM.gen (Trojanisches Pferd)
01.08.2007 14:32:07 Gelöscht *****\***** C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\ZA86TV25\guild_wars_10.641[2].exe C:\Documents and Settings\*****\Desktop\crack.exe\GenUnp Downloader-AWM.gen (Trojanisches Pferd)

01.08.2007 15:32:26 Statistik:
01.08.2007 15:32:26 Gescannte Dateien: 34369
01.08.2007 15:32:26 Erkannte Dateien: 8
01.08.2007 15:32:26 Gesäuberte Dateien: 0
01.08.2007 15:32:26 Gelöschte Dateien: 8
01.08.2007 15:34:27 Modulversion = 5100.0194
01.08.2007 15:34:27 AntiVirus-DAT-Version = 5087.0000
01.08.2007 15:34:27 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
01.08.2007 15:34:27 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 09:04:05 Modulversion = 5100.0194
02.08.2007 09:04:05 AntiVirus-DAT-Version = 5087.0000
02.08.2007 09:04:05 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 09:04:05 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 09:06:44 Modulversion = 5100.0194
02.08.2007 09:06:44 AntiVirus-DAT-Version = 5088.0000
02.08.2007 09:06:44 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 09:06:44 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 09:55:59 Gelöscht *****\***** C:\Documents and Settings\Micha\My Documents\Downloads\Guild Wars Factions Online Keymaker.exe C:\DOCUMENTS AND SETTINGS\*****\LOCAL SETTINGS\TEMP\IXP000.TMP\SERVER.EXE BackDoor-CEP.svr (Trojanisches Pferd)
02.08.2007 09:55:59 Gelöscht *****\***** C:\Documents and Settings\*****\My Documents\Downloads\Guild Wars Factions Online Keymaker.exe C:\Documents and Settings\Micha\Local Settings\Temp\IXP000.TMP\server.exe BackDoor-CEP.svr (Trojanisches Pferd)
02.08.2007 12:00:05 Gelöscht NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\SYSTEM VOLUME INFORMATION\_RESTORE{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP481\A0170565.EXE Downloader-BCF (Trojanisches Pferd)
02.08.2007 12:26:36 Gelöscht NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP481\A0170565.exe\GenUnp\GenUnp Downloader-BCF (Trojanisches Pferd)

02.08.2007 17:04:05 Statistik:
02.08.2007 17:04:05 Gescannte Dateien: 71928
02.08.2007 17:04:05 Erkannte Dateien: 4
02.08.2007 17:04:05 Gesäuberte Dateien: 0
02.08.2007 17:04:05 Gelöschte Dateien: 4
02.08.2007 22:46:29 Modulversion = 5100.0194
02.08.2007 22:46:29 AntiVirus-DAT-Version = 5088.0000
02.08.2007 22:46:29 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 22:46:29 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 22:50:12 Gesäubert *****\***** C:\WINDOWS\Explorer.EXE c:\documents and settings\*****\local settings\temporary internet files\content.ie5\sw0l8759\masiyxanidi[1] Generic AdClicker.d (Trojanisches Pferd)
02.08.2007 22:50:24 Gelöscht *****\***** C:\WINDOWS\Explorer.EXE C:\DOCUMENTS AND SETTINGS\*****\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\SW0L8759\MASIYXANIDI[1] Generic AdClicker.d (Trojanisches Pferd)
02.08.2007 22:50:24 Gelöscht *****\***** C:\WINDOWS\Explorer.EXE C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\SW0L8759\masiyxanidi[1] Generic AdClicker.d (Trojanisches Pferd)
02.08.2007 23:44:10 Modulversion = 5100.0194
02.08.2007 23:44:10 AntiVirus-DAT-Version = 5089.0000
02.08.2007 23:44:10 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
02.08.2007 23:44:10 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 00:07:17 Statistik:
03.08.2007 00:07:17 Gescannte Dateien: 7737
03.08.2007 00:07:17 Erkannte Dateien: 3
03.08.2007 00:07:17 Gesäuberte Dateien: 1
03.08.2007 00:07:17 Gelöschte Dateien: 2
03.08.2007 00:15:09 Modulversion = 5100.0194
03.08.2007 00:15:09 AntiVirus-DAT-Version = 5089.0000
03.08.2007 00:15:09 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 00:15:09 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 01:22:44 Statistik:
03.08.2007 01:22:44 Gescannte Dateien: 5629
03.08.2007 01:22:44 Erkannte Dateien: 0
03.08.2007 01:22:44 Gesäuberte Dateien: 0
03.08.2007 01:22:44 Gelöschte Dateien: 0
03.08.2007 01:24:46 Modulversion = 5100.0194
03.08.2007 01:24:46 AntiVirus-DAT-Version = 5089.0000
03.08.2007 01:24:46 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 01:24:46 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 07:50:08 Statistik:
03.08.2007 07:50:08 Gescannte Dateien: 11698
03.08.2007 07:50:08 Erkannte Dateien: 0
03.08.2007 07:50:08 Gesäuberte Dateien: 0
03.08.2007 07:50:08 Gelöschte Dateien: 0
03.08.2007 08:39:37 Modulversion = 5100.0194
03.08.2007 08:39:37 AntiVirus-DAT-Version = 5089.0000
03.08.2007 08:39:37 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 08:39:37 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 09:15:28 Statistik:
03.08.2007 09:15:28 Gescannte Dateien: 2835
03.08.2007 09:15:28 Erkannte Dateien: 0
03.08.2007 09:15:28 Gesäuberte Dateien: 0
03.08.2007 09:15:28 Gelöschte Dateien: 0
03.08.2007 09:40:56 Modulversion = 5100.0194
03.08.2007 09:40:56 AntiVirus-DAT-Version = 5089.0000
03.08.2007 09:40:56 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 09:40:56 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 09:45:47 Statistik:
03.08.2007 09:45:47 Gescannte Dateien: 1390
03.08.2007 09:45:47 Erkannte Dateien: 0
03.08.2007 09:45:47 Gesäuberte Dateien: 0
03.08.2007 09:45:47 Gelöschte Dateien: 0
03.08.2007 13:05:22 Modulversion = 5100.0194
03.08.2007 13:05:22 AntiVirus-DAT-Version = 5089.0000
03.08.2007 13:05:22 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 13:05:22 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 13:21:18 Statistik:
03.08.2007 13:21:18 Gescannte Dateien: 2037
03.08.2007 13:21:18 Erkannte Dateien: 0
03.08.2007 13:21:18 Gesäuberte Dateien: 0
03.08.2007 13:21:18 Gelöschte Dateien: 0
03.08.2007 13:22:51 Modulversion = 5100.0194
03.08.2007 13:22:51 AntiVirus-DAT-Version = 5089.0000
03.08.2007 13:22:51 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 13:22:51 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 13:46:36 Statistik:
03.08.2007 13:46:36 Gescannte Dateien: 2989
03.08.2007 13:46:36 Erkannte Dateien: 0
03.08.2007 13:46:36 Gesäuberte Dateien: 0
03.08.2007 13:46:36 Gelöschte Dateien: 0
03.08.2007 13:48:34 Modulversion = 5100.0194
03.08.2007 13:48:34 AntiVirus-DAT-Version = 5089.0000
03.08.2007 13:48:34 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 13:48:34 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 15:26:19 Statistik:
03.08.2007 15:26:19 Gescannte Dateien: 5619
03.08.2007 15:26:19 Erkannte Dateien: 0
03.08.2007 15:26:19 Gesäuberte Dateien: 0
03.08.2007 15:26:19 Gelöschte Dateien: 0
03.08.2007 16:24:57 Modulversion = 5100.0194
03.08.2007 16:24:57 AntiVirus-DAT-Version = 5089.0000
03.08.2007 16:24:57 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 16:24:57 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

03.08.2007 16:50:04 Statistik:
03.08.2007 16:50:04 Gescannte Dateien: 2731
03.08.2007 16:50:04 Erkannte Dateien: 0
03.08.2007 16:50:04 Gesäuberte Dateien: 0
03.08.2007 16:50:04 Gelöschte Dateien: 0
03.08.2007 16:52:06 Modulversion = 5100.0194
03.08.2007 16:52:06 AntiVirus-DAT-Version = 5089.0000
03.08.2007 16:52:06 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 16:52:06 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 21:06:54 Modulversion = 5100.0194
03.08.2007 21:06:54 AntiVirus-DAT-Version = 5090.0000
03.08.2007 21:06:54 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
03.08.2007 21:06:54 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein
04.08.2007 07:43:30 Modulversion = 5100.0194
04.08.2007 07:43:30 AntiVirus-DAT-Version = 5090.0000
04.08.2007 07:43:30 Anzahl an Entdeckungssignaturen in EXTRA.DAT= Kein
04.08.2007 07:43:30 Namen der Entdeckungssignaturen in EXTRA.DAT= Kein

Hi,

Patches, Cracks, Keygens und XXX, dafür sieht dein Log noch verdächtig sauber aus

Ich hab die XXX-Seite mal besucht, gut dass ich für sowas ein Linux mit einem Browser benutze, der kein Javascript und Java kennt (die Bildchen sind eklig genug ). Über ein Windows hätte da die Hölle runterkommen können:

Code: Alles auswählenAufklappen

ATTFilter

<iframe src="hxxp://85.255.113.*/*/*.*" width="0" height="0"></iframe>
         

Das sind die berühmten Inhoster in der Ukraine, die größte Malwareschleuder im Internet. Dadrin wiederum steht sogar im Klartext drin (offen und ehrlich sind sie, das muss man ihnen lassen):

Code: Alles auswählenAufklappen

ATTFilter

<html><head>
<script>
function Exploit() {
// hab den Code mal ausgelassen ;)
}
</script></head><body onload="Exploit()">Please wait...     </body></html>
         

Benenne dein HijackThis mal in hjt.exe um und mach damit ein neues Log und wenn das immer noch nichts anzeigt, ist wohl eine fette Packung Rootkitscans angesagt. Außerdem Silentrunners inklusive der "supplementary searches".

Wieviele Keygens, Cracks, usw. hast Du denn geladen, die Mcaffee noch nicht kennt, bei der mäßigen Erkennungsrate von Mcaffe sind das vermutlich einige gewesen Bei der Benutzung solcher Tools dürfte es ziemlich sinnlos sein, sich groß drum zu kümmern, ist eh nur eine Frage der Zeit und die Seuchen sind zurück. Da ist öfter mal Neuaufsetzen inbegriffen.

Karl

hier mein HijackThis log mit umbenanntem .exe file (hijackthis --> hjt):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:18, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {545E77AD-1B80-4A01-8E7F-DDB37D97B2C8} - C:\WINDOWS\system32\nnnomnk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {934FF0C0-2AD6-42AC-A26A-14ABE2A403F8} - C:\WINDOWS\system32\vtuts.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\equajvmx.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - h**p://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/webupload/ActiveX/PhotocolorUploader.cab
O20 - Winlogon Notify: nnnomnk - C:\WINDOWS\SYSTEM32\nnnomnk.dll
O20 - Winlogon Notify: vtuts - C:\WINDOWS\system32\vtuts.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6912 bytes

Und schon taucht der Vundo auf

Führe den Vundo Entferner nach folgender Anleitung aus:

• Lade VundoFix.exe auf deinen Desktop und starte sie mit einem Doppelklick.
• Nachdem VundoFix sich wieder geöffnet hat, klicke auf "Scan for Vundo".
• Nach dem Ende des Scans klicke auf "Remove Vundo".
• Die Frage, ob Du die Dateien entfernen willst, beantworte mit "Ja".
• Danach verschwindet dein Desktop, das ist normal während der Entfernung.
• Wenn dies fertig ist, wird dir mitgeteilt, dass dein Rechner runtergefahren wird. Klicke OK.
• Es ist möglich, dass VundoFix eine Datei findet, die es nicht entfernen kann. In diesem Fall wiederhole die Anleitung.
• Nachdem VundoFix endgültig fertig ist, poste den Inhalt von C:\vundofix.txt sowie ein neues Hijackthis.

vielen dank für deine hilfe...

habs ein paar mal probiert mit vundo und immer die neu auftauchenden fils deleted. unter anderem habe ich die datei nnnomnk.dll ins textfile von vundo mit dem namen addedfiles (oder so ähnlich) im ordner vundobackup eingetragen da er diese weder erkannt hat noch löschen konnte. danach war er fähig sie zu löschen. hier die neuen logs....

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 13:33:46 04.08.2007

Listing files found while scanning....

C:\windows\system32\gdtefdqe.exe
C:\WINDOWS\system32\stutv.bak2
C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\vtuts.dll

Beginning removal...

Attempting to delete C:\windows\system32\gdtefdqe.exe
C:\windows\system32\gdtefdqe.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\stutv.bak2
C:\WINDOWS\system32\stutv.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\stutv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\vtuts.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 09:15:02 05.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yycdd.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\ddcyy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yycdd.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\yycdd.ini
C:\WINDOWS\system32\yycdd.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.6

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 13:04:00 05.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\vybeg.bak1
C:\WINDOWS\system32\vybeg.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebyv.dll
C:\WINDOWS\system32\gebyv.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\vybeg.bak1
C:\WINDOWS\system32\vybeg.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\vybeg.ini
C:\WINDOWS\system32\vybeg.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\nnnomnk.dll
C:\WINDOWS\system32\nnnomnk.dll Has been deleted!

Performing Repairs to the registry.
Done!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:33, on 05.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\HijackThis\hjt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - h**p://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - h**p://web1.photocolor.net/webupload/ActiveX/PhotocolorUploader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6420 bytes

sieht nicht schlecht aus oder...?! (vielleicht ja auch nicht)

macht sich

Start -> Ausführen, kopiere dort die folgende Zeile vollständig hinein:

Code: Alles auswählenAufklappen

ATTFilter

cmd /c dir /a-d /o-d %systemroot%\system32 > c:\a.txt & notepad c:\a.txt & del C:\a.txt
         

Im sich öffnenden Notepad lösche alle Zeilen mit einem Datum älter als drei Monate (ist nach Zeit sortiert, ältere weiter unten) und kopiere den Rest hierher.

habe mal noch einen online scan mit kaspersky gemacht...

Monday, August 06, 2007 6:49:47 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 5/08/2007
Kaspersky Anti-Virus database records: 350233


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\
F:\
G:\
H:\

Scan Statistics
Total number of scanned objects 110194
Number of viruses found 1
Number of infected objects 1 / 0
Number of suspicious objects 0
Duration of the scan process 02:35:45

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Db\Agent_*****.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Db\PrdMgr_*****.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection\BufferOverflowProtectionLog.txt Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\*****\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\*****\Local Settings\History\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\*****\Local Settings\History\History.IE5\MSHist012007080520070806\index.dat Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Temp\NAILogs\UpdaterUI_*****.log Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Temp\~DF822B.tmp Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Temp\~DF82CC.tmp Object is locked skipped

C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\*****\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\*****\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP1\change.log Object is locked skipped

C:\VundoFix Backups\gdtefdqe.exe.bad Infected: Trojan-Downloader.Win32.Tiny.id skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped

C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped

C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped

C:\WINDOWS\Internet Logs\*****.ldb Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked skipped

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\ZLT03a17.TMP Object is locked skipped

C:\WINDOWS\Temp\ZLT0450c.TMP Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

D:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP1\change.log Object is locked skipped

Scan process completed.

hier also die daten...

Volume in drive C is System
Volume Serial Number is 041B-AAF9

Directory of C:\WINDOWS\system32

06.08.2007 08:26 58'727 vsconfig.xml
05.08.2007 22:59 2'550 Uninstall.ico
05.08.2007 22:59 1'406 Help.ico
05.08.2007 22:59 30'590 pavas.ico
03.08.2007 14:19 5'120 Thumbs.db
03.08.2007 09:53 0 tmp.txt
03.08.2007 09:53 2'674 tmp.reg
03.08.2007 08:38 141'240 FNTCACHE.DAT
03.08.2007 01:09 2'206 wpa.dbl
03.08.2007 00:14 405 hvtivxht.ini
02.08.2007 22:59 69'184 equajvmx.dll
02.08.2007 22:56 125'504 thxvitvh.dll
01.08.2007 16:40 47'616 pcwKill.z.exe
01.08.2007 15:45 436'694 perfh009.dat
01.08.2007 15:45 70'458 perfc009.dat
01.08.2007 15:45 516'186 PerfStringBackup.INI
10.07.2007 21:56 185'688 rmoc3260.dll
10.07.2007 21:55 5'632 pndx5032.dll
10.07.2007 21:55 6'656 pndx5016.dll
10.07.2007 21:18 278'528 pncrt.dll
09.07.2007 14:10 4'937 jupdate-1.6.0_02-b05.log
06.07.2007 14:47 4'212 zllictbl.dat
28.06.2007 09:57 16'256'984 MRT.exe
27.06.2007 11:21 58 DonationCoder_ScreenshotCaptor_InstallInfo.dat
21.06.2007 21:55 54'672 vsutil_loc0407.dll
21.06.2007 21:54 21'904 imsinstall_loc0407.dll
21.06.2007 21:54 17'808 imslsp_install_loc0407.dll
21.06.2007 21:54 394'984 vsdatant.sys
21.06.2007 21:54 1'086'952 zpeng24.dll
21.06.2007 21:54 83'432 zlcomm.dll
21.06.2007 21:54 71'144 zlcommdb.dll
21.06.2007 21:54 99'816 vsxml.dll
21.06.2007 21:54 472'552 vsutil.dll
21.06.2007 21:54 46'568 vswmi.dll
21.06.2007 21:54 157'160 vsinit.dll
21.06.2007 21:54 275'944 vspubapi.dll
21.06.2007 21:54 71'144 vsregexp.dll
21.06.2007 21:54 103'912 vsmonapi.dll
21.06.2007 21:54 83'432 vsdata.dll
20.06.2007 20:46 266'088 xactengine2_8.dll
20.06.2007 20:45 18'280 x3daudio1_2.dll
14.06.2007 16:53 139'264 javaws.exe
14.06.2007 16:53 69'632 javacpl.cpl
14.06.2007 15:51 135'168 javaw.exe
14.06.2007 15:51 135'168 java.exe
13.06.2007 21:25 339'968 ATIDEMGX.dll
13.06.2007 21:24 268'288 ati2dvag.dll
13.06.2007 21:23 307'200 atiiiexx.dll
13.06.2007 21:17 139'264 atipdlxx.dll
13.06.2007 21:17 118'784 Oemdspif.dll
13.06.2007 21:17 26'112 Ati2mdxx.exe
13.06.2007 21:17 42'496 ati2edxx.dll
13.06.2007 21:16 118'784 ati2evxx.dll
13.06.2007 21:15 483'328 ati2evxx.exe
13.06.2007 21:14 53'248 ATIDDC.DLL
13.06.2007 21:10 8'097'792 atioglx2.dll
13.06.2007 21:07 2'922'208 ati3duag.dll
13.06.2007 20:57 1'512'960 ativvaxx.dll
13.06.2007 20:57 972'072 ativva6x.dat
13.06.2007 20:57 3'107'788 ativva5x.dat
13.06.2007 20:57 3'107'788 ativvaxx.dat
13.06.2007 20:46 5'431'296 atioglxx.dll
13.06.2007 20:43 262'144 atikvmag.dll
13.06.2007 20:42 17'408 atitvo32.dll
13.06.2007 20:41 50'176 atiok3x2.dll
13.06.2007 20:36 368'640 ati2cqag.dll
13.06.2007 14:29 520'192 ati2sgag.exe
31.05.2007 08:45 4'816 divxsm.tlb
31.05.2007 08:45 524'288 DivXsm.exe
31.05.2007 08:44 823'296 divx_xx07.dll
31.05.2007 08:44 823'296 divx_xx0c.dll
31.05.2007 08:44 802'816 divx_xx11.dll
31.05.2007 08:44 740'442 DivX.dll
31.05.2007 08:44 638'976 divxdec.ax
28.05.2007 00:59 108'144 CmdLineExt.dll
24.05.2007 16:39 34'394 130.60.201.13
18.05.2007 11:13 5 ddecae0_g.ocx
18.05.2007 11:13 5 cfdfef8_g.dll
17.05.2007 22:16 308 results.txt
16.05.2007 17:12 683'520 inetcomm.dll
16.05.2007 16:45 443'752 d3dx10_34.dll
16.05.2007 16:45 3'497'832 d3dx9_34.dll
16.05.2007 16:45 1'124'720 D3DCompiler_34.dll
08.05.2007 11:24 3'583'488 mshtml.dll

@karlkarl

ich habe mitlerweile keine dieser popups mehr feststellen können. und auch sonst habe ich nichts mehr ungewöhnliches festgestellt.
was sagst du zu meinem letzten log der sytemfiles? kann ich jetzt wieder ohne angst mein onlinebanking benützen, oder meinst du das ist nicht ratsam?

übrigens vielen dank für deine hilfe!!!!!!!

ach ja, hätte da noch ne frage....ich habe mir jetzt statt mcafee den antivir installiert, was meinst du ist diese software zu empfehlen? oder hast du einen anderen tipp (wenn möglich freeware)?

nochmals thx!

Sieht gut aus, kein aktiver Vundo mehr. Allerdings ein paar verdächtige Dateien, die zurückgebliebene Reste sein können:

hvtivxht.ini
equajvmx.dll
thxvitvh.dll

Lass die mal bei VirusTotal scannen.

Antivir ist einer der besten Virenscanner die es gibt, bereits in der freien Classic Version. Der Wechsel ist eine deutliche Verbesserung. Aber 100% kann kein Scanner schaffen. Vundo ist eines der großen Probleme, die es gibt und kann, wenn er erst mal aktiv ist, von Virenscannern nicht gelöscht werden. Außerdem vermutlich die häufigste Infektion.

hallo karlkarl

also bei der hvtivxht.ini hat virustotal nichts gefunden und was die anderen beiden betrifft, die finde ich gar nicht mehr auf meinem rechner (habe zuvor den pc gereinigt mit tuneup utilities 2007, vielleicht desswegen!?)

was meinstdu bezüglich onlinebanking?

gruss
kunti