Vundo.gen & Co

Bierjunge · 21.08.2007, 13:48

Moin,

auf meinem Rechner tummeln sich mehrere Trojaner wie Vundo und co, aber macht nichts außer dumm rumzupiepsen und sie doch nicht zu löschen ^^

Symantec hat auch nichts gebracht ...

Hier schonmal ein Log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

myrtille · 21.08.2007, 14:23

Hi,
bevor wir mit der Bereinigung anfangen, werte bitte mal folgende Dateien bei virustotal aus:

Zitat:

C:\WINDOWS\TEMP\win49.tmp.exe
C:\WINDOWS\ASEMBL~1\chkntfs.exe
C:\Windows\xpupdate.exe

Poste die Ergebnisse dann hier.

lg myrtille

Bierjunge · 21.08.2007, 15:15

C:\WINDOWS\TEMP\win49.tmp.exe

Datei win49.tmp.exe empfangen 2007.08.21 16:02:12 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/32 (62.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.21 -
AntiVir 7.4.1.62 2007.08.21 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.08.20 W32/Trojan.BHZO
Avast 4.7.1029.0 2007.08.20 -
AVG 7.5.0.484 2007.08.20 Generic5.OPE
BitDefender 7.2 2007.08.21 -
CAT-QuickHeal 9.00 2007.08.21 Trojan.Agent.qt
ClamAV 0.91 2007.08.21 Trojan.Agent-7471
DrWeb 4.33 2007.08.21 -
eSafe 7.0.15.0 2007.08.20 Win32.Agent.qt
eTrust-Vet 31.1.5076 2007.08.21 -
Ewido 4.0 2007.08.21 -
FileAdvisor 1 2007.08.21 -
Fortinet 2.91.0.0 2007.08.21 W32/Agent.QT!tr
F-Prot 4.3.2.48 2007.08.20 W32/Trojan.BHZO
F-Secure 6.70.13030.0 2007.08.21 Trojan.Win32.Agent.qt
Ikarus T3.1.1.12 2007.08.21 Trojan.Win32.Dialer.qn
Kaspersky 4.0.2.24 2007.08.21 -
McAfee 5101 2007.08.20 -
Microsoft 1.2803 2007.08.21 Trojan:Win32/Agent.PA
NOD32v2 2473 2007.08.21 -
Norman 5.80.02 2007.08.21 W32/Agent.BWGX
Panda 9.0.0.4 2007.08.21 Generic Malware
Prevx1 V2 2007.08.21 Generic.Malware
Rising 19.37.12.00 2007.08.21 -
Sophos 4.20.0 2007.08.21 -
Sunbelt 2.2.907.0 2007.08.21 Trojan.Win32.Agent.qt
Symantec 10 2007.08.21 MagicAntiSpy
TheHacker 6.1.8.171 2007.08.21 Trojan/Agent.qt
VBA32 3.12.2.2 2007.08.21 Trojan.Win32.Agent.qt
VirusBuster 4.3.26:9 2007.08.21 Trojan.Agent.JQI
Webwasher-Gateway 6.0.1 2007.08.21 Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 22016 bytes
MD5: 03f3853f68f22d31c8733f992e39a16d
SHA1: 52e4eaf539a17e7a9ad400f9f027a3fd374376b7
packers: PECOMPACT
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9C452E2A001040955666006341E11C00A118EF56
Sunbelt info: Trojan.Win32.Agent.qt is a trojan that steals information from the infected machine and sends the data to a remote website.

C:\WINDOWS\ASEMBL~1\chkntfs.exe

- Muss ich die Datei haben? Hab sie nämlich nicht

C:\Windows\xpupdate.exe

Datei xpupdate.exe empfangen 2007.08.21 16:03:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/31 (61.3%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.21 -
AntiVir 7.4.1.62 2007.08.21 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.08.20 W32/Trojan.BHZO
Avast 4.7.1029.0 2007.08.20 -
AVG 7.5.0.484 2007.08.20 Generic5.OPE
BitDefender 7.2 2007.08.21 -
CAT-QuickHeal 9.00 2007.08.21 Trojan.Agent.qt
ClamAV 0.91 2007.08.21 Trojan.Agent-7471
DrWeb 4.33 2007.08.21 -
eSafe 7.0.15.0 2007.08.20 Win32.Agent.qt
eTrust-Vet 31.1.5076 2007.08.21 -
Ewido 4.0 2007.08.21 -
FileAdvisor 1 2007.08.21 -
Fortinet 2.91.0.0 2007.08.21 W32/Agent.QT!tr
F-Prot 4.3.2.48 2007.08.20 W32/Trojan.BHZO
F-Secure 6.70.13030.0 2007.08.21 Trojan.Win32.Agent.qt
Ikarus T3.1.1.12 2007.08.21 Trojan.Win32.Dialer.qn
Kaspersky 4.0.2.24 2007.08.21 -
McAfee 5101 2007.08.20 -
Microsoft 1.2803 2007.08.21 Trojan:Win32/Agent.PA
NOD32v2 2473 2007.08.21 -
Norman 5.80.02 2007.08.21 W32/Agent.BWGX
Panda 9.0.0.4 2007.08.21 Generic Malware
Rising 19.37.12.00 2007.08.21 -
Sophos 4.20.0 2007.08.21 -
Sunbelt 2.2.907.0 2007.08.21 Trojan.Win32.Agent.qt
Symantec 10 2007.08.21 MagicAntiSpy
TheHacker 6.1.8.171 2007.08.21 Trojan/Agent.qt
VBA32 3.12.2.2 2007.08.21 Trojan.Win32.Agent.qt
VirusBuster 4.3.26:9 2007.08.21 Trojan.Agent.JQI
Webwasher-Gateway 6.0.1 2007.08.21 Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 22016 bytes
MD5: 03f3853f68f22d31c8733f992e39a16d
SHA1: 52e4eaf539a17e7a9ad400f9f027a3fd374376b7
packers: PECOMPACT
Sunbelt info: Trojan.Win32.Agent.qt is a trojan that steals information from the infected machine and sends the data to a remote website.

myrtille · 21.08.2007, 16:22

Ja, die Datei müsstest du haben! Versuch mal alle Dateien sichtbar zu machen und schau ob du die Datei dann findest.

Deinstalliere MagicAntiSpy unter Start->Systemsteuerung->Software.

!!* Systemwiederherstellung deaktivieren.!! (Start->Rechtsklick auf Arbeitsplatz->Eigenschaften->Systemwiederherstellung)
* Lad dir Vundofix Download und smitfraudfix.
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Wechsle dann in den abgesicherten Modus und lass Smitfraudfix mit der Option 2 durchlaufen.

Fixe dann mit HijackThis im abgesicherten Modus folgende Einträge:

Zitat:

O2 - BHO: (no name) - {8DC13F33-719B-46C9-A590-6FA097E0570F} - C:\WINDOWS\system32\yayvvvv.dll
O4 - HKCU\..\Run: [Btso] "C:\WINDOWS\ASEMBL~1\chkntfs.exe" -vt yazb
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Magicantispy] C:\Program Files\Magicantispy\Magicantispy.exe
O20 - Winlogon Notify: winuuw32 - C:\WINDOWS\SYSTEM32\winuuw32.dll
O20 - Winlogon Notify: yayvvvv - C:\WINDOWS\SYSTEM32\yayvvvv.dll

Lösche sofern noch vorhanden folgende Dateien:

Zitat:

C:\Program Fikes\MagicAntiSpy
C:\WINDOWS\SYSTEM32\yayvvvv.dll
C:\WINDOWS\SYSTEM32\winuuw32.dll
C:\Windows\xpupdate.exe
C:\WINDOWS\ASEMBL~1\chkntfs.exe
C:\WINDOWS\TEMP\win49.tmp.exe

Wechsle nun wieder in den normalen Modus, poste das Log von Vundofix und Smitfraudfix, sowie ein neues Hijackthislog, bennene vorher bitte aber hijackthis.exe in abc.exe um.

Arbeite bitte außerdem noch folgende Anleitung ab und poste die Ergebnisse hier:
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

lg myrtille

Bierjunge · 21.08.2007, 17:11

Ich habe den einen Windows Ordner gefunden, der ist in C:\QooBox\Quarantine\C\WINDOWS\ASEMBL~1

Das vundofix hatte nichts gefunden ...

Die Files die noch da waren konnte ich dann mit dem avenger löschen, im Moment sieht es so aus als würde es laufen (zumindest kommt nicht alle 2 Minuten ein ANtivir Fund)

Also schonmal ein fettes Danke!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:32, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\soundman.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\IDETOOL\IDETOOL.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\VundoFix.exe
C:\Programme\BearShare Applications\BearShare\BearShare.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8DC13F33-719B-46C9-A590-6FA097E0570F} - C:\WINDOWS\system32\yayvvvv.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winuuw32 - winuuw32.dll (file missing)
O20 - Winlogon Notify: yayvvvv - yayvvvv.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5234 bytes

Filelist, nicht sehr lang, da ich Windows erst gestern wieder installiert hatte

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84BB-FA68

Verzeichnis von C:\

21.08.2007 18:04 759 VundoFix.txt
21.08.2007 17:59 536.399.872 hiberfil.sys
21.08.2007 17:59 805.306.368 pagefile.sys
21.08.2007 17:59 2.750 avenger.txt
21.08.2007 17:47 1.968 rapport.txt
21.08.2007 17:40 2.560 Neu Textdokument.txt
21.08.2007 13:28 11.060 ComboFix.txt
21.08.2007 13:28 1.950 ComboFix-quarantined-files.txt
21.08.2007 01:07 0 AUTOEXEC.BAT
20.08.2007 23:22 0 AUTOEXEC.VIA
20.08.2007 23:22 0 CONFIG.SYS
20.08.2007 23:22 0 MSDOS.SYS
20.08.2007 23:22 0 IO.SYS
20.08.2007 23:16 211 boot.ini.cf
20.08.2007 23:16 211 boot.ini

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84BB-FA68

Verzeichnis von C:\WINDOWS\system32

21.08.2007 18:17 2.206 wpa.dbl
21.08.2007 17:45 0 tmp.txt
21.08.2007 17:45 2.110 tmp.reg
21.08.2007 14:35 5.214 jupdate-1.6.0_02-b06.log
21.08.2007 02:23 15.360 drvxocr.dll
21.08.2007 01:14 311.740 perfh009.dat
21.08.2007 01:14 40.128 perfc009.dat
21.08.2007 01:14 48.354 perfc007.dat
21.08.2007 01:14 316.924 perfh007.dat
21.08.2007 01:14 723.744 PerfStringBackup.INI
21.08.2007 01:12 90.296 FNTCACHE.DAT
21.08.2007 01:08 122.142 TZLog.log
21.08.2007 00:16 0 h323log.txt
20.08.2007 23:49 176.167 rmoc3260.dll
20.08.2007 23:49 5.632 pndx5032.dll
20.08.2007 23:49 6.656 pndx5016.dll
20.08.2007 23:49 278.528 pncrt.dll
20.08.2007 23:35 1.919 AUTOEXEC.NT
20.08.2007 23:25 261 $winnt$.inf
20.08.2007 23:22 2.951 CONFIG.NT
20.08.2007 23:22 16.832 amcompat.tlb
20.08.2007 23:22 23.392 nscompat.tlb
20.08.2007 23:21 488 logonui.exe.manifest
20.08.2007 23:21 488 WindowsLogon.manifest
20.08.2007 23:21 749 wuaucpl.cpl.manifest
20.08.2007 23:21 749 cdplayer.exe.manifest
20.08.2007 23:21 749 sapi.cpl.manifest
20.08.2007 23:21 749 nwc.cpl.manifest
20.08.2007 23:21 749 ncpa.cpl.manifest
20.08.2007 23:19 21.740 emptyregdb.dat
02.08.2007 21:34 16.789.464 MRT.exe

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84BB-FA68

Verzeichnis von C:\WINDOWS\Prefetch

21.08.2007 18:14 22.370 RUNDLL32.EXE-14BE42EE.pf
21.08.2007 18:14 25.484 WUAUCLT.EXE-399A8E72.pf
21.08.2007 18:14 16.358 REGEDIT.EXE-1B606482.pf
21.08.2007 18:12 32.924 WMIPRVSE.EXE-28F301A9.pf
21.08.2007 18:00 100.914 FIREFOX.EXE-1D57670A.pf
21.08.2007 18:00 671.214 NTOSBOOT-B00DFAAD.pf
21.08.2007 17:44 106.128 WSCNTFY.EXE-1B24F5EB.pf
21.08.2007 17:39 26.886 CONTROL.EXE-013DBFB5.pf
21.08.2007 17:33 26.860 REALPLAY.EXE-39F79CBD.pf
21.08.2007 17:18 472.378 Layout.ini
21.08.2007 16:34 12.078 READER_SL.EXE-1EA4C8B2.pf
21.08.2007 16:34 23.364 REALSCHED.EXE-0A2A7558.pf
21.08.2007 16:34 20.040 AVGNT.EXE-36CA4640.pf
21.08.2007 16:34 22.864 SVCHOST.EXE-3530F672.pf
21.08.2007 16:34 15.992 PICASAMEDIADETECTOR.EXE-0F176C6A.pf
21.08.2007 16:34 19.576 COPYFSTQ.EXE-0C075E68.pf
21.08.2007 14:34 56.412 MSIEXEC.EXE-2F8A8CAE.pf
21.08.2007 14:04 13.120 RUNDLL32.EXE-268BFF96.pf
21.08.2007 14:03 99.494 IEXPLORE.EXE-2CA9778D.pf
21.08.2007 13:26 37.890 REGSVR32.EXE-25EEFE2F.pf
21.08.2007 03:16 13.772 RUNDLL32.EXE-451FC2C0.pf
21.08.2007 02:23 43.440 UPDATE.EXE-13D57D76.pf
21.08.2007 02:23 14.030 PREUPD.EXE-358AA1C1.pf
21.08.2007 02:22 51.556 AVGUARD.EXE-3490B18B.pf
21.08.2007 01:28 67.778 EXPLORER.EXE-082F38A9.pf
21.08.2007 01:15 82.710 UPDATE.EXE-148D2B48.pf
21.08.2007 01:15 82.796 UPDATE.EXE-394B1298.pf
21.08.2007 01:15 96.148 UPDATE.EXE-074BDFAB.pf
21.08.2007 01:15 87.822 UPDATE.EXE-20BF4DDC.pf
21.08.2007 01:15 113.656 UPDATE.EXE-01D1D9D6.pf
21.08.2007 01:15 85.680 UPDATE.EXE-23AC8458.pf
21.08.2007 01:15 99.158 UPDATE.EXE-0450EC7A.pf
21.08.2007 01:15 80.354 UPDATE.EXE-3483414E.pf
21.08.2007 01:15 109.180 UPDATE.EXE-1848474F.pf
21.08.2007 01:14 115.472 UPDATE.EXE-021EC829.pf
21.08.2007 01:14 79.442 UPDATE.EXE-343168DC.pf
21.08.2007 01:14 89.096 UPDATE.EXE-0561564F.pf
21.08.2007 01:14 28.286 WMIADAP.EXE-2DF425B2.pf
21.08.2007 01:08 26.434 UNREGMP2.EXE-07CACB61.pf
21.08.2007 01:07 19.004 RUNONCE.EXE-2803F297.pf
21.08.2007 01:03 11.846 GRPCONV.EXE-111CD845.pf
21.08.2007 00:45 57.024 UPDATE.EXE-2A2A8CB1.pf
21.08.2007 00:45 61.252 UPDATE.EXE-1D767A29.pf
21.08.2007 00:45 62.830 UPDATE.EXE-259DF184.pf
21.08.2007 00:45 56.178 UPDATE.EXE-21F27C1F.pf
21.08.2007 00:45 58.710 UPDATE.EXE-1D57323C.pf
21.08.2007 00:44 58.814 UPDATE.EXE-38EC3E4D.pf
21.08.2007 00:44 54.512 UPDATE.EXE-1B64EB79.pf
21.08.2007 00:44 65.194 UPDATE.EXE-333F9033.pf
21.08.2007 00:44 55.734 UPDATE.EXE-2E9ABAEC.pf
21.08.2007 00:44 68.554 UPDATE.EXE-14BCA40A.pf
21.08.2007 00:44 62.698 UPDATE.EXE-37427BB1.pf
21.08.2007 00:44 81.516 UPDATE.EXE-35D9C483.pf
21.08.2007 00:41 53.986 GOOGLEUPDATER.EXE-36CE3796.pf
21.08.2007 00:41 53.886 UPDATE.EXE-1E1B50D4.pf
21.08.2007 00:41 69.674 UPDATE.EXE-06D2124F.pf
21.08.2007 00:41 79.928 UPDATE.EXE-31FE6921.pf
21.08.2007 00:40 58.418 UPDATE.EXE-02235D54.pf
21.08.2007 00:40 71.976 UPDATE.EXE-3B0B047A.pf
21.08.2007 00:39 63.044 UPDATE.EXE-0163C191.pf
21.08.2007 00:30 8.118 TC11.EXE-2B5342D6.pf
21.08.2007 00:27 53.826 UPDATE.EXE-37731D4E.pf
21.08.2007 00:26 39.058 RUNDLL32.EXE-2576181F.pf
21.08.2007 00:25 16.064 USERINIT.EXE-30B18140.pf
21.08.2007 00:25 60.696 SKYPE.EXE-21F19BC8.pf
21.08.2007 00:25 11.320 MPNOTIFY.EXE-3631A846.pf
21.08.2007 00:12 6.674 LOGON.SCR-151EFAEA.pf
20.08.2007 23:53 47.442 UPDATE.EXE-1B9AA4D5.pf
20.08.2007 23:53 70.596 UPDATE.EXE-071FE5A0.pf
20.08.2007 23:52 15.172 SETUP.EXE-190342EC.pf
20.08.2007 23:51 24.616 INSTALLERS_CI_AR_DE_8.1.0.137-0B0B5246.pf
20.08.2007 23:50 18.024 INSTALLERS_CI_SKY_EN_3.2.0.14-38756199.pf
20.08.2007 23:50 62.236 SKYPESETUP.EXE-19CEB7EB.pf
20.08.2007 23:49 9.814 REALPLAY_MOUNTPOINTS.EXE-2B4A70B6.pf
20.08.2007 23:49 4.340 SETREG.EXE-13E57D37.pf
20.08.2007 23:49 6.228 DEFENC.EXE-2F92E3B8.pf
20.08.2007 23:49 5.006 MERGEDT.EXE-097FF3E5.pf
20.08.2007 23:48 52.596 INSTALLERS_CI_REAL_DE_6.0.12.-1B9983C7.pf
20.08.2007 23:47 7.736 MSI93.TMP-355277D5.pf
20.08.2007 23:47 53.926 INSTALLERS_CI_EARTH_EN_4.1.80-146673CC.pf
20.08.2007 23:46 20.290 RUNDLL32.EXE-1187FB71.pf
20.08.2007 23:45 48.312 AVNOTIFY.EXE-22AE9451.pf
20.08.2007 23:45 30.386 SCHED.EXE-236A886F.pf
20.08.2007 23:45 15.568 RUNDLL32.EXE-375EBC99.pf
20.08.2007 23:45 15.706 RUNDLL32.EXE-3D56695D.pf
20.08.2007 23:45 56.202 SETUP.EXE-0CAC26F9.pf
20.08.2007 23:44 37.810 WINDOWSINSTALLER-KB893803-V2--0CF39225.pf
20.08.2007 23:44 67.444 ANTIVIR_WORKSTATION_WIN704U_D-272F2D66.pf
20.08.2007 23:44 34.586 INSTALLERS_CI_FF_DE_2.0.0.4_S-3080A2F1.pf
20.08.2007 23:44 41.634 FIREFOX SETUP 2.0.0.4.EXE-2421DACE.pf
20.08.2007 23:44 71.818 SETUP.EXE-0B596CC5.pf
20.08.2007 23:44 20.620 UNZIP.EXE-348C7655.pf
20.08.2007 23:43 14.632 RUNDLL32.EXE-2E3ABFCD.pf
20.08.2007 23:43 32.502 INSTALLERS_CI_PICASA_EN_2.7.3-1D22C3D8.pf
20.08.2007 23:43 19.002 PXSETUP.EXE-01E4DF72.pf
20.08.2007 23:43 5.252 PXHPINST.EXE-19CAC65A.pf
20.08.2007 23:43 31.564 PICASAUPDATE_26F4.EXE-31B8CD7B.pf
20.08.2007 23:43 41.166 PICASAUPDATE_274F.EXE-057052F7.pf
20.08.2007 23:43 33.644 PICASAUPDATE_278A.EXE-0F37BD9E.pf
20.08.2007 23:43 12.280 GOOGLEUPDATERSERVICE.EXE-1B303769.pf
20.08.2007 23:41 15.790 GOOGLEUPDATERINSTALLMGR.EXE-102B9EEB.pf
20.08.2007 23:41 18.748 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
20.08.2007 23:41 27.470 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
20.08.2007 23:41 20.510 GOOGLE UPDATER.EXE-03E4FCCF.pf
20.08.2007 23:41 20.968 GOOGLEUPDATER.EXE-220A0698.pf
20.08.2007 23:41 49.646 GOOGLEUPDATERSETUP.EXE-115DADF1.pf
20.08.2007 23:41 18.776 SEARCHWITHGOOGLEUPDATE.EXE-30997898.pf
20.08.2007 23:41 8.632 GOOGLEUPDATERADMINPREFS.EXE-17F4AD07.pf
20.08.2007 23:41 13.806 GOOGLEUPDATERSERVICE.EXE-1DFB161F.pf
20.08.2007 23:38 13.084 RSMSINK.EXE-032F2BAB.pf
20.08.2007 23:38 40.828 MMC.EXE-0A5AF4A1.pf
20.08.2007 23:37 17.438 RUNDLL32.EXE-2341BBC5.pf
20.08.2007 23:34 15.298 TOURSTART.EXE-0D0140ED.pf
20.08.2007 23:34 13.746 CTFMON.EXE-0E17969B.pf
20.08.2007 23:34 11.938 RUNDLL32.EXE-49F747DB.pf
20.08.2007 23:34 18.892 SHMGRATE.EXE-1BA69E68.pf
20.08.2007 23:34 24.132 RUNDLL32.EXE-286A7F8C.pf
20.08.2007 23:34 5.130 CSRSS.EXE-12B63473.pf
20.08.2007 23:34 46.560 SETUP50.EXE-0CDEF78F.pf
20.08.2007 23:34 19.088 LOGONUI.EXE-0AF22957.pf
20.08.2007 23:34 39.014 RUNDLL32.EXE-2AF77CC9.pf
20.08.2007 23:34 38.120 RUNDLL32.EXE-4499C56E.pf
20.08.2007 23:34 14.224 RUNDLL32.EXE-470F11BD.pf
20.08.2007 23:34 13.978 RUNDLL32.EXE-169CA248.pf
20.08.2007 23:34 51.434 IE4UINIT.EXE-169A5A39.pf
20.08.2007 23:26 14.566 ALG.EXE-0F138680.pf
20.08.2007 23:26 16.304 MSOOBE.EXE-30411B02.pf
20.08.2007 23:26 1.310 SERVICES.EXE-2F433351.pf
20.08.2007 23:26 4.990 LSASS.EXE-20DB6D1B.pf
20.08.2007 23:26 10.494 SPOOLSV.EXE-282F76A7.pf
130 Datei(en) 6.262.754 Bytes
0 Verzeichnis(se), 1.064.001.536 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84BB-FA68

Verzeichnis von C:\WINDOWS

21.08.2007 18:17 2.903 wmsetup.log
21.08.2007 18:14 1.546.057 WindowsUpdate.log
21.08.2007 17:59 232.415 setupapi.log
21.08.2007 17:59 159 wiadebug.log
21.08.2007 17:59 50 wiaservc.log
21.08.2007 17:59 0 0.log
21.08.2007 17:59 2.048 bootstat.dat
21.08.2007 17:58 2.616 SchedLgU.Txt
21.08.2007 17:55 209.142 ntbtlog.txt
21.08.2007 17:46 176.498 setupact.log
21.08.2007 14:35 1.261 mozver.dat
21.08.2007 02:26 176.664 comsetup.log
21.08.2007 02:26 37.072 KB899587.log
21.08.2007 02:26 27.903 ocmsn.log
21.08.2007 02:26 233.046 tsoc.log
21.08.2007 02:26 25.821 tabletoc.log
21.08.2007 02:26 105.421 ntdtcsetup.log
21.08.2007 02:26 1.374 imsins.log
21.08.2007 02:26 568.473 iis6.log
21.08.2007 02:26 35.062 MedCtrOC.log
21.08.2007 02:26 25.282 msgsocm.log
21.08.2007 02:26 245.096 ocgen.log
21.08.2007 02:26 88.347 netfxocm.log
21.08.2007 02:26 499.985 FaxSetup.log
21.08.2007 02:26 156.530 msmqinst.log
21.08.2007 02:26 35.951 updspapi.log
21.08.2007 02:26 36.507 KB927779.log
21.08.2007 02:26 1.374 imsins.BAK
21.08.2007 02:26 33.516 KB927802.log
21.08.2007 02:25 33.106 KB922819.log
21.08.2007 02:25 30.277 KB885836.log
21.08.2007 02:25 31.317 KB923414.log
21.08.2007 02:25 23.829 KB900485.log
21.08.2007 02:25 24.829 KB920872.log
21.08.2007 02:25 58.981 KB932168.log
21.08.2007 02:25 56.609 KB901214.log
21.08.2007 02:25 44.149 KB922582.log
21.08.2007 02:25 49.508 KB918118.log
21.08.2007 02:25 49.213 KB926255.log
21.08.2007 02:25 49.330 KB900725.log
21.08.2007 02:25 47.580 KB920213.log
21.08.2007 02:25 44.412 KB904706.log
21.08.2007 02:25 44.417 KB905749.log
21.08.2007 02:25 26.897 KB923689.log
21.08.2007 02:24 43.237 KB913580.log
21.08.2007 02:24 45.266 KB937143.log
21.08.2007 02:24 33.313 KB920683.log
21.08.2007 02:24 34.531 KB890859.log
21.08.2007 01:14 39.533 KB928255.log
21.08.2007 01:13 922 spupdsvc.log
21.08.2007 01:11 36.613 KB931784.log
21.08.2007 01:11 34.831 KB911927.log
21.08.2007 01:11 34.324 KB901017.log
21.08.2007 01:11 34.642 KB899591.log
21.08.2007 01:11 34.199 KB920685.log
21.08.2007 01:10 34.830 KB893756.log
21.08.2007 01:10 34.252 KB923980.log
21.08.2007 01:10 32.416 KB911280.log
21.08.2007 01:10 32.005 KB936021.log
21.08.2007 01:10 31.384 KB911562.log
21.08.2007 01:09 30.867 KB938828.log
21.08.2007 01:09 28.109 KB924667.log
21.08.2007 01:09 25.901 KB896423.log
21.08.2007 01:09 30.204 KB924270.log
21.08.2007 01:08 28.275 KB931261.log
21.08.2007 01:08 16.435 KB936782.log
21.08.2007 01:08 27.623 KB873339.log
21.08.2007 01:08 28.518 KB924496.log
21.08.2007 01:08 38.236 KB931836.log
21.08.2007 01:08 27.902 KB921503.log
21.08.2007 01:07 26.749 KB887472.log
21.08.2007 01:07 28.281 KB938829.log
21.08.2007 01:07 27.962 KB896358.log
21.08.2007 01:07 16.220 KB925398.log
21.08.2007 01:07 20.081 KB910437.log
21.08.2007 01:07 14.694 KB911564.log
21.08.2007 01:06 27.794 KB925902.log
21.08.2007 01:06 26.699 KB929123.log
21.08.2007 01:06 25.839 KB920670.log
21.08.2007 01:06 25.316 KB891781.log
21.08.2007 01:06 26.046 KB918439.log
21.08.2007 01:06 29.247 KB902400.log
21.08.2007 01:05 20.772 KB890046.log
21.08.2007 01:05 19.461 KB926436.log
21.08.2007 01:04 19.770 KB930178.log
21.08.2007 01:04 19.284 KB919007.log
21.08.2007 01:04 19.444 KB914388.log
21.08.2007 01:04 18.426 KB917344.log
21.08.2007 01:04 17.615 KB905414.log
21.08.2007 01:04 34.716 KB917953.log
21.08.2007 01:03 31.730 KB923191.log
21.08.2007 01:02 29.144 KB888302.log
21.08.2007 01:02 29.387 KB938127.log
21.08.2007 01:02 27.882 KB935840.log
21.08.2007 01:01 21.600 KB886185.log
21.08.2007 01:01 27.664 KB916595.log
21.08.2007 01:01 27.711 KB930916.log
21.08.2007 01:01 27.615 KB908531.log
21.08.2007 00:57 21.624 KB896428.log
21.08.2007 00:57 21.849 KB935839.log
21.08.2007 00:57 22.039 KB894391.log
21.08.2007 00:56 19.852 KB908519.log
21.08.2007 00:55 19.629 KB914389.log
21.08.2007 00:54 16.583 KB928843.log
21.08.2007 00:51 9.647 KB885835.log
21.08.2007 00:30 94.636 dropcpyr.dll
21.08.2007 00:30 73.728 copyfstq.exe
21.08.2007 00:07 0 Sti_Trace.log
21.08.2007 00:04 1.348 regopt.log
21.08.2007 00:03 0 setuperr.log
20.08.2007 23:53 8.355 KB893803v2.log
20.08.2007 23:53 9.446 KB898461.log
20.08.2007 23:44 0 nsreg.dat
20.08.2007 23:35 250 system.ini
20.08.2007 23:34 829 OEWABLog.txt
20.08.2007 23:33 769.160 setuplog.txt
20.08.2007 23:26 8.192 REGLOCS.OLD
20.08.2007 23:22 0 control.ini
20.08.2007 23:22 477 win.ini
20.08.2007 23:22 316.640 WMSysPr9.prx
20.08.2007 23:22 4.161 ODBCINST.INI
20.08.2007 23:21 749 WindowsShell.Manifest
20.08.2007 23:19 1.023 sessmgr.setup.log
20.08.2007 23:19 37 vbaddin.ini
20.08.2007 23:19 36 vb.ini
20.08.2007 23:19 133 DtcInstall.log
20.08.2007 23:16 200 cmsetacl.log
20.07.2007 00:47 109.056 catchme.exe

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84BB-FA68

Verzeichnis von C:\WINDOWS\temp

21.08.2007 17:39 0 win21.tmp
21.08.2007 17:39 1.230 win20.tmp
21.08.2007 17:19 0 win13.tmp
21.08.2007 16:59 0 win10.tmp
21.08.2007 16:39 0 win9.tmp
21.08.2007 16:37 0 win7.tmp
21.08.2007 16:35 0 win6.tmp
21.08.2007 16:33 0 win2.tmp
21.08.2007 16:31 0 win1.tmp
21.08.2007 16:07 0 winAC.tmp
21.08.2007 15:47 0 winAB.tmp
21.08.2007 15:39 1.230 winAA.tmp
21.08.2007 15:27 0 winA8.tmp
21.08.2007 15:07 0 win9F.tmp
21.08.2007 14:47 0 win9E.tmp
21.08.2007 14:27 0 win6A.tmp
21.08.2007 14:07 0 win59.tmp
21.08.2007 13:47 0 win52.tmp
21.08.2007 13:45 0 win50.tmp
21.08.2007 13:43 0 win4F.tmp
21.08.2007 13:41 0 win4E.tmp
21.08.2007 13:39 0 win4D.tmp
21.08.2007 13:39 0 win4C.tmp
21.08.2007 13:37 0 win4A.tmp
21.08.2007 13:37 0 win48.tmp
21.08.2007 13:36 0 win2F.tmp
21.08.2007 13:34 0 win2D.tmp
21.08.2007 13:33 0 win2B.tmp
21.08.2007 13:31 0 win28.tmp
21.08.2007 13:31 0 win27.tmp
21.08.2007 13:31 0 win26.tmp
21.08.2007 13:30 0 win23.tmp
21.08.2007 13:30 1.230 win22.tmp
33 Datei(en) 3.690 Bytes
0 Verzeichnis(se), 1.063.993.344 Bytes frei

myrtille · 21.08.2007, 22:39

Hi,
da sind doch noch einige dubiose Dateien auf deinem Rechner. Wie schafft man es eigentlich sich innerhalb eines Tages so viel Zeug an Board zu ziehen?

Wer hat dir gesagt, dass du Combofix benutzen sollst!?
Poste bitte noch den Inhalt der folgenden Dateien
C:\
21.08.2007 18:04 759 VundoFix.txt
21.08.2007 17:59 2.750 avenger.txt
21.08.2007 17:47 1.968 rapport.txt
21.08.2007 17:40 2.560 Neu Textdokument.txt
21.08.2007 13:28 11.060 ComboFix.txt

Die Qoobox ist übrigens der Quarantäneordner von Combofix, die Datei war also schon da wo, du gesucht hast, sie hatte sich nur versteckt.

Also folgende Dateien bitte nochmal bei virustotal auswerten lassen:

Zitat:

C:\WINDOWS\system32
21.08.2007 02:23 15.360 drvxocr.dll
21.08.2007 00:16 0 h323log.txt
20.08.2007 23:49 176.167 rmoc3260.dll
20.08.2007 23:49 5.632 pndx5032.dll
20.08.2007 23:49 6.656 pndx5016.dll
20.08.2007 23:49 278.528 pncrt.dll

C:\Windows

21.08.2007 00:30 94.636 dropcpyr.dll
21.08.2007 00:30 73.728 copyfstq.exe

Fixe außerdem noch folgende Einträge bei HJT:

Zitat:

O2 - BHO: (no name) - {8DC13F33-719B-46C9-A590-6FA097E0570F} - C:\WINDOWS\system32\yayvvvv.dll (file missing)
O20 - Winlogon Notify: winuuw32 - winuuw32.dll (file missing)
O20 - Winlogon Notify: yayvvvv - yayvvvv.dll (file missing)

lg myrtille

Bierjunge · 24.08.2007, 14:12

Moin,

dachte eigentlich, dass alles ok ist, hatte auch keine Probleme mehr

Aber in der einen Datei wurde was gefunden, der Rest war sauber:

Datei drvxocr.dll empfangen 2007.08.24 14:56:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 56 und 81 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 Spyware/Virtumonde
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 WinAntiSpyware
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 15360 bytes
MD5: 46fa03da90e988a831d49ae2e5fe9a96
SHA1: 620644d7be1042f5e9d83140a903f964358c2902

21.08.2007 18:04 759 VundoFix.txt

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 17:38:28 21.08.2007

Listing files found while scanning....

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 17:40:18 21.08.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 17:42:06 21.08.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 18:02:33 21.08.2007

Listing files found while scanning....

No infected files were found.

21.08.2007 17:59 2.750 avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uykmwqlb

*******************

Script file located at: \??\C:\Program Files\vcrkubnj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Could not open file C:\Program Fikes\MagicAntiSpy for deletion
Deletion of file C:\Program Fikes\MagicAntiSpy failed!

Could not process line:
C:\Program Fikes\MagicAntiSpy
Status: 0xc000003a

File C:\WINDOWS\SYSTEM32\yayvvvv.dll deleted successfully.
File C:\WINDOWS\SYSTEM32\winuuw32.dll deleted successfully.

File C:\Windows\xpupdate.exe not found!
Deletion of file C:\Windows\xpupdate.exe failed!

Could not process line:
C:\Windows\xpupdate.exe
Status: 0xc0000034

Could not open file C:\WINDOWS\ASEMBL~1\chkntfs.exe for deletion
Deletion of file C:\WINDOWS\ASEMBL~1\chkntfs.exe failed!

Could not process line:
C:\WINDOWS\ASEMBL~1\chkntfs.exe
Status: 0xc000003a

File C:\WINDOWS\TEMP\win49.tmp.exe not found!
Deletion of file C:\WINDOWS\TEMP\win49.tmp.exe failed!

Could not process line:
C:\WINDOWS\TEMP\win49.tmp.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

21.08.2007 17:47 1.968 rapport.txt

SmitFraudFix v2.214

Scan done at 17:45:50,07, 21.08.2007
Run from C:\Dokumente und Einstellungen\Bierjunge!\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\xpupdate.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{26C69B0D-F8FF-4B94-A601-5DE9D8645EA6}: DhcpNameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS1\Services\Tcpip\..\{26C69B0D-F8FF-4B94-A601-5DE9D8645EA6}: DhcpNameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\..\{26C69B0D-F8FF-4B94-A601-5DE9D8645EA6}: DhcpNameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.237.149.142 217.237.150.205
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=217.237.149.142 217.237.150.205

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

21.08.2007 17:40 2.560 Neu Textdokument.txt

- Da hatte ich mir nur deinen Post aus dem Forum gespeichert, da ich im abgesichertem Modus ja kein Netz habe

21.08.2007 13:28 11.060 ComboFix.txt

ComboFix 07-08-17.2 - "Bierjunge!" 2007-08-21 13:25:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.285 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOKUME~1\BIERJU~1\ANWEND~1\install.dat
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\asembl~1
C:\WINDOWS\asembl~1\a?sembly\
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\wr.txt

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\nm

((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))

2007-08-21 13:25 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 03:02 <DIR> d-------- C:\DOKUME~1\BIERJU~1\ANWEND~1\Kazaa Lite
2007-08-21 02:23 43,542 --------- C:\WINDOWS\system32\yayvvvv.dll
2007-08-21 02:23 20,480 --a------ C:\WINDOWS\system32\winuuw32.dll
2007-08-21 02:23 15,360 --a------ C:\WINDOWS\system32\drvxocr.dll
2007-08-21 02:23 <DIR> d-------- C:\DOKUME~1\BIERJU~1\ANWEND~1\ICQ Toolbar
2007-08-21 01:07 52,096 -ra------ C:\WINDOWS\system32\drivers\viadsk.sys
2007-08-21 01:07 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-08-21 01:07 3,279 --a------ C:\WINDOWS\system32\drivers\VIAPFD.SYS
2007-08-21 01:07 19,456 -ra------ C:\WINDOWS\system32\viaideco.dll
2007-08-21 01:07 <DIR> d-------- C:\WINDOWS\system32\ReinstallBackups
2007-08-21 01:07 <DIR> d-------- C:\Program Files
2007-08-21 01:07 <DIR> d-------- C:\DOKUME~1\BIERJU~1\WINDOWS
2007-08-21 01:04 <DIR> d-------- C:\Programme\ICQToolbar
2007-08-21 01:03 <DIR> d-------- C:\Programme\ICQ6
2007-08-21 01:03 <DIR> d-------- C:\DOKUME~1\BIERJU~1\ANWEND~1\ICQ
2007-08-21 01:02 <DIR> d-------- C:\My Shared Folder
2007-08-21 01:02 <DIR> d-------- C:\DOKUME~1\BIERJU~1\ANWEND~1\InstallShield
2007-08-21 01:00 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-08-21 01:00 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2007-08-21 01:00 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-08-21 01:00 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-08-21 01:00 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-08-21 01:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-08-21 01:00 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-08-21 01:00 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2007-08-21 01:00 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2007-08-21 01:00 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-08-21 01:00 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2007-08-21 01:00 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-08-21 01:00 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-08-21 01:00 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-08-21 00:59 265,143 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2007-08-21 00:59 217,088 -ra------ C:\WINDOWS\alcupd.exe
2007-08-21 00:59 151,552 -ra------ C:\WINDOWS\alcrmv.exe
2007-08-21 00:59 124,416 -ra------ C:\WINDOWS\soundman.exe
2007-08-21 00:59 <DIR> dr-hsc--- C:\WINDOWS\system32\dllcache
2007-08-21 00:59 <DIR> dr--s---- C:\WINDOWS\Fonts
2007-08-21 00:59 <DIR> dr------- C:\WINDOWS\Web
2007-08-21 00:59 <DIR> d--h----- C:\WINDOWS\inf
2007-08-21 00:59 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\WinSxS
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\twain_32
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\wins
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\wbem
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\usmt
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\spool
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\ShellExt
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\Setup
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\ras
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\oobe
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\npp
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\mui
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\inetsrv
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\IME
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\icsxml
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\ias
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\export
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\drivers\etc
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\drivers\disdn
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\drivers
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\dhcp
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\config
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\3com_dmi
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\3076
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\2052
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1054
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1042
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1041
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1037
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1033
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1031
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1028
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32\1025
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system32
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\system
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\security
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Resources
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\repair
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Provisioning
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\PeerNet
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\pchealth
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\mui
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\msapps
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\msagent
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Media
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\ime
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Help
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\ehome
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Driver Cache
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Debug
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Cursors
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Connection Wizard
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\Config
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\AppPatch
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS\addins
2007-08-21 00:59 <DIR> d-------- C:\WINDOWS
2007-08-21 00:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-21 00:59 <DIR> d-------- C:\Programme\AvRack
2007-08-21 00:59 <DIR> d-------- C:\Programme\Avance Sound Manager

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-21 01:26 2426 --a------ C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
2007-08-21 01:25 8972 --a------ C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
2007-08-21 01:22 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8DC13F33-719B-46C9-A590-6FA097E0570F}]
2007-08-21 02:23 43542 --------- C:\WINDOWS\system32\yayvvvv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-20 23:49]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Resume copy"="copyfstq.exe" [2007-08-21 00:30 C:\WINDOWS\copyfstq.exe]
"SoundMan"="soundman.exe" [2002-02-07 16:38 C:\WINDOWS\soundman.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-20 23:41]
"Btso"="C:\WINDOWS\ASEMBL~1\chkntfs.exe" []

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-08-20 23:41:45]
IDETool.lnk - C:\Program Files\IDETOOL\IDETOOL.EXE [2007-08-21 01:07:22]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{8DC13F33-719B-46C9-A590-6FA097E0570F}"= C:\WINDOWS\system32\yayvvvv.dll [2007-08-21 02:23 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuuw32]
winuuw32.dll 2007-08-21 02:23 20480 C:\WINDOWS\system32\winuuw32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayvvvv]
yayvvvv.dll 2007-08-21 02:23 43542 C:\WINDOWS\system32\yayvvvv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau

R0 viadsk;viadsk;C:\WINDOWS\system32\DRIVERS\viadsk.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
S0 kajxglsy;kajxglsy;C:\WINDOWS\system32\drivers\edyavixy.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
AutoRun\command- D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfb4ae1-4f70-11dc-8fce-806d6172696f}]
AutoRun\command- D:\setup.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 13:28:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-21 13:28:56 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-21 13:28

--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:52, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\soundman.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\IDETOOL\IDETOOL.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\BearShare Applications\BearShare\BearShare.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4902 bytes

myrtille · 24.08.2007, 14:43

Sieht eigentlich alles ganz gut aus.

Hier sieht man sehr schön welche Ordner (natürlich nur gaaaaaaaanz zufällig

) gleichzeitig mit Vundo erstellt wurde:

Zitat:

2007-08-21 02:23 43,542 --------- C:\WINDOWS\system32\yayvvvv.dll
2007-08-21 02:23 20,480 --a------ C:\WINDOWS\system32\winuuw32.dll
2007-08-21 02:23 15,360 --a------ C:\WINDOWS\system32\drvxocr.dll
2007-08-21 02:23 <DIR> d-------- C:\DOKUME~1\BIERJU~1\ANWEND~1\ICQ Toolbar

Wobei es nicht unbedingt bedeutet, dass VUNDO=ICQ Toolbar=ICQToolbar enthalten in ICQ6 ist, ist aber dennoch mein Hauptverdacht.

Vundo sollte jetzt allerdings runter sein.

Ein paar Kleinigkeiten gibt es noch:
Tippen will gelernt sein.

Daher bitte anstatt diesen Ordner: C:\Program Fikes\MagicAntiSpy, den Ordner löschen:
C:\Program Files\MagicAntiSpy

Der korrekte Befehl zum löschen von Ordner bei avenger ist übrigens:

Zitat:

Folders to delete:

Den Ordner sollte man allerdings auch einfach so löschen können.

Was dir lieber ist.

Die restlichen Fehler bei Avenger, entstehen oder sind gedeckt, weil die Dateien von Smitfraudfix, Combofix etc. bereits gelöscht wurden.

lg myrtille

Bierjunge · 25.08.2007, 03:32

Ja danke, wenn ich das nächste mal mein System neu drauf spiele werde ich erst antivir installieren, bevor ich den ganzen anderen schrott drauf spiele

Vor allem wenn ich Spiele cracke, was ich natürlich niemals tun würde ^^

Der Magic schrott ist auch runter, ging problemlos manuell

myrtille · 25.08.2007, 11:59

Schön, dass das alles so geklappt hat.

Wenn du das nächste Mal neuaufsetzt, muss das erste was du installierst das SP2 sein, sonst kann dich auch Antivir nicht mehr retten.

Hier hab ich grad nochmal ne Menge Sicherheitstipps zusammen gefasst, falls du noch was zum Lesen suchst.

Das meiste steht auch in unserer Anleitung zum Neuaufsetzen.

lg myrtille

25.08.2007, 11:59	#10
myrtille /// TB-Ausbilder	Vundo.gen & Co Schön, dass das alles so geklappt hat. Wenn du das nächste Mal neuaufsetzt, muss das erste was du installierst das SP2 sein, sonst kann dich auch Antivir nicht mehr retten. Hier hab ich grad nochmal ne Menge Sicherheitstipps zusammen gefasst, falls du noch was zum Lesen suchst. Das meiste steht auch in unserer Anleitung zum Neuaufsetzen. lg myrtille

Vundo.gen & Co

Log-Analyse und Auswertung: Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Vundo.gen & Co

Ähnliche Themen: Vundo.gen & Co

25.08.2007, 03:32	#9
Bierjunge	Vundo.gen & Co Ja danke, wenn ich das nächste mal mein System neu drauf spiele werde ich erst antivir installieren, bevor ich den ganzen anderen schrott drauf spiele Vor allem wenn ich Spiele cracke, was ich natürlich niemals tun würde ^^ Der Magic schrott ist auch runter, ging problemlos manuell