Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?

MongoMogli · 12.09.2007, 14:16

Ich habe mir heute anscheinend den Vundo Trojaner gefangen.

hier mein HTJ Log

Logfile of HijackThis v1.99.1
Scan saved at 15:09:19, on 12.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Framework\FrameworkService.exe
C:\Program Files\VirusScan\Mcshield.exe
C:\Program Files\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\VirusScan\SHSTAT.EXE
C:\Program Files\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\htj\spyware.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {401077D2-060C-4276-B654-F4DD8D9AC51A} - C:\WINDOWS\system32\vtstq.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\nnnnopq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1159449293546
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnnopq - C:\WINDOWS\SYSTEM32\nnnnopq.dll
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\VirusScan\VsTskMgr.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Fettgedrucktes habe ich schon oft versucht zu entfernen. Kein Erfolg.
Auch McAfee Enterprise, AntiVir oder SP Search&Destroy haben kein Erfolg.

VundoFix hat 3 dlls gefunden und diese gelöscht, findet jetzt aber bei erneutem Suchlauf keine Vundo Files mehr.

AntiVir erkennt z.B. aber die dll´s (nnnnopq.dll vtstq.dll )sofort als Vundo.Gen

Zudem popt Werbung für WinAntiVirus auf und DiscCleaner.
Die datei CHeck_LSA7.txt kann ich nicht entfernen oder öffnen oder editieren, ich denke mal, dass sie m it dem Vundo Trojaner zu tun hat.

Ich habe auch schon in anderen FOren nachgelesen, jedoch hat bisher keinder der Lösungswege funktioniert.

**Sunny** · 12.09.2007, 14:20

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\vtstq.dll
C:\WINDOWS\system32\nnnnopq.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Gruß
Sunny

MongoMogli · 12.09.2007, 18:19

eScan ist schon seit 2,5 h am scannen und ich glaube er braucht noch etwas. PLatte ist halt ziemlich voll

Den Bericht reiche ich dann später am Abend nach.

Zu den beiden dll Dateien hier die VirusTotal Scans:

C:\WINDOWS\system32\vtstq.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.5 2007.09.12 -
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.11 -
AVG 7.5.0.485 2007.09.12 Generic7.KCP
BitDefender 7.2 2007.09.12 DeepScan:Generic.Virtumonde.1.E9EB2928
CAT-QuickHeal 9.00 2007.09.11 -
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm
eTrust-Vet 31.1.5128 2007.09.12 Win32/Vundo!generic
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 W32/Vundo.dam
Ikarus T3.1.1.12 2007.09.12 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.09.12 -
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2524 2007.09.12 -
Norman 5.80.02 2007.09.12 W32/Vundo.dam
Panda 9.0.0.4 2007.09.12 Suspicious file
Prevx1 V2 2007.09.12 Heuristic: Suspicious Self Modifying EXE
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 Virtumundo
Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen
Webwasher-Gateway 6.0.1 2007.09.12 Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 244832 bytes
MD5: e87539112c221cb4fa474b0ec9931719
SHA1: a410f6d74500225102c326b4a431b849aa22144d
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=0A76C8D360EFF6B6BC9103BAC82460009645D368
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

C:\WINDOWS\system32\nnnnopq.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.5 2007.09.12 TR/Vundo.Gen
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.11 -
AVG 7.5.0.485 2007.09.12 Adware Generic2.PGC
BitDefender 7.2 2007.09.12 Trojan.Vundo.DNC
CAT-QuickHeal 9.00 2007.09.11 AdWare.Virtumonde.jp (Not a Virus)
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 Trojan.Virtumod.211
eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm
eTrust-Vet 31.1.5128 2007.09.12 -
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 Adware/VirtuMonde
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 4.0.2.24 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2524 2007.09.12 -
Norman 5.80.02 2007.09.12 W32/Virtumonde.dam
Panda 9.0.0.4 2007.09.12 Suspicious file
Prevx1 V2 2007.09.12 Malware.Gen
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 Virtumundo
Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious
Symantec 10 2007.09.12 -
TheHacker 6.1.10.184 2007.09.11 Adware/Virtumonde.jp
VBA32 3.12.2.4 2007.09.12 -
VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Vundo.Gen
weitere Informationen
File size: 44054 bytes
MD5: 5d1c4cd869f72e389dbae0eb4b973241
SHA1: ca3cd72b4c2e9339ce8e429d79633765fe7338af
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=79A365171678D123AC4500821C23EE00055ED99F
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

MongoMogli · 12.09.2007, 19:20

Hier die Ergebnisse von eScan!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 9/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Administrator\Local Settings\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044520.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044523.exe infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044524.exe//data.rar/keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP357\A0044586.exe infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Downloads\antivir_workstation_win7u_de_h.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{2FE9DC23-69E7-4DF7-9E5A-F50FA70C6663}\RP100\A0020797.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP283\A0036023.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP286\A0036187.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Documents and Settings\Administrator\Local Settings\temp\_ir_sf7_temp_0\irsetup.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Documents and Settings\Administrator\Local Settings\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Documents and Settings\Administrator\Local Settings\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\QIP\Users\97355332\RcvdFiles\98577403_Marci\MCore.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 149901
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 94
Dauer des Scans bisher: 03:00:58
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:19:26,70
Batchende: 20:19:31,03

**Sunny** · 12.09.2007, 20:03

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Sunny

MongoMogli · 12.09.2007, 22:16

Ich glaube ComboFix hat mein Problem gelöst!!!

ComboFix 07-09-10.6 - "Administrator" 2007-09-12 23:08:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.623 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\nnnnopq.dll
C:\WINDOWS\system32\qtstv.bak1
C:\WINDOWS\system32\qtstv.bak2
C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vtstq.dll

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_DOMAINSERVICE
-------\DomainService

((((((((((((((((((((((((( Files Created from 2007-08-12 to 2007-09-12 )))))))))))))))))))))))))))))))
.

2007-09-12 23:06 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-12 20:19 <DIR> d-------- C:\bases_x
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-12 16:28 423,424 --a------ C:\WINDOWS\R.COM
2007-09-12 16:28 177,664 --a------ C:\WINDOWS\system32\T.COM
2007-09-12 13:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
2007-09-12 13:11 <DIR> d-------- C:\VundoFix Backups
2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Zylom
2007-09-05 20:39 <DIR> d-------- C:\Program Files\Telekom
2007-09-04 17:59 <DIR> d-------- C:\DOCUME~1\ADMINI~1\dwhelper
2007-09-03 19:42 <DIR> d-------- C:\WINDOWS\system32\quicktime
2007-09-03 19:42 <DIR> d-------- C:\Program Files\NimoCodec Pack
2007-09-03 19:42 <DIR> d-------- C:\Program Files\DivX
2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst
2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\PlayFirst
2007-08-31 13:55 <DIR> d-------- C:\Program Files\Sat1 Spiele
2007-08-30 20:01 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-08-30 12:32 <DIR> d-------- C:\Program Files\MSI
2007-08-30 11:29 <DIR> d-------- C:\Program Files\IsoBuster
2007-08-27 19:17 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype
2007-08-27 19:16 <DIR> d-------- C:\Program Files\Skype
2007-08-27 19:16 <DIR> d-------- C:\Program Files\Common Files\Skype
2007-08-27 19:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-08-27 18:54 <DIR> d-------- C:\WINDOWS\Speech
2007-08-27 18:01 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Creative
2007-08-27 17:57 <DIR> d-------- C:\Program Files\Creative
2007-08-26 12:50 <DIR> d-------- C:\WINDOWS\pss
2007-08-21 14:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-08-20 12:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-08-17 16:23 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2007-08-17 16:23 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2007-08-17 16:23 278,528 --a------ C:\WINDOWS\system32\nvrsit.dll
2007-08-17 16:23 266,240 --a------ C:\WINDOWS\system32\nvrsja.dll
2007-08-17 16:23 262,144 --a------ C:\WINDOWS\system32\nvrsko.dll
2007-08-17 16:23 258,048 --a------ C:\WINDOWS\system32\nvrshu.dll
2007-08-17 16:23 212,992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2007-08-17 16:23 196,608 --a------ C:\WINDOWS\system32\nvwrsko.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-12 15:22 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus
2007-09-12 14:28 --------- d-------- C:\Program Files\Azureus
2007-09-12 14:09 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Lavasoft
2007-09-11 07:50 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Vso
2007-09-04 16:27 --------- d-------- C:\Program Files\ICQ
2007-09-02 10:41 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-30 20:19 --------- d-------- C:\Program Files\FlashFXP
2007-08-24 22:13 --------- d-------- C:\Program Files\Winamp
2007-08-24 21:51 --------- d-------- C:\Program Files\eMule
2007-07-26 12:49 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
2007-07-26 12:49 --------- d-------- C:\Program Files\DAEMON Tools
2007-07-25 16:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
2007-07-25 15:55 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Atari
2007-07-24 12:16 --------- d-------- C:\Program Files\Common Files\InstallShield
2007-07-23 16:26 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
2007-07-23 13:36 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss
2007-07-12 14:08 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Weaverslave
2007-07-01 10:46 24192 --a------ C:\DOCUME~1\ADMINI~1\usbsermptxp.sys
2007-07-01 10:46 22768 --a------ C:\DOCUME~1\ADMINI~1\usbsermpt.sys
2007-06-20 20:46 87608 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\ezpinst.exe
2007-06-20 20:46 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys
2007-06-13 12:23 1033216 --a------ C:\WINDOWS\explorer.exe
2006-09-26 20:42 457 --a------ C:\Program Files\INSTALL.LOG
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe]
"ShStatEXE"="C:\Program Files\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"McAfeeUpdaterUI"="C:\Program Files\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43]
"nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2004-12-14 18:06]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29]
"Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 12:00]

C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-28 16:42:01]
Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 20:28:24]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoSMMyDocs"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoSMMyDocs"=1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\\WINDOWS\\system32\\vtstq

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys
R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys
R3 V0330VID;WebCam Vista;C:\WINDOWS\system32\DRIVERS\V0330Vid.sys
S3 EntDrv51;EntDrv51;\??\C:\WINDOWS\system32\drivers\EntDrv51.sys
S3 Fadpu16E;Fadpu16E;\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fadpu16E.sys
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService WebClient LmHosts upnphost SSDPSRV

.
Contents of the 'Scheduled Tasks' folder
"2007-09-12 14:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-12 23:11:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\WindowsUpdate.log
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\wininit.ini
C:\WINDOWS\winnt.bmp
C:\WINDOWS\winnt256.bmp
C:\WINDOWS\WINPHONE.INI
C:\WINDOWS\WinSxS
C:\WINDOWS\WMFDist11.log
C:\WINDOWS\wmp11.log
C:\WINDOWS\wmp11Uninst.log
C:\WINDOWS\wmsetup.log
C:\WINDOWS\wmsetup10.log
C:\WINDOWS\WMSysPr9.prx
C:\WINDOWS\Wudf01000Inst.log
C:\WINDOWS\XPize
C:\WINDOWS\Zapotec.bmp
C:\WINDOWS\zts2.exe
C:\WINDOWS\_default.pif

scan completed successfully
hidden files: 20

**************************************************************************
.
Completion time: 2007-09-12 23:13:10 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-12 23:13
.
--- E O F ---

Was sollte ich noch tun um auf Nummer sicher zu gehen???

Ach und übrigens vielen Dank für die schnelle und wirklich idiotensichere Hilfe

**Sunny** · 13.09.2007, 15:45

Zitat:

Was sollte ich noch tun um auf Nummer sicher zu gehen???

Mach mal noch folgendes:

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

MongoMogli · 14.09.2007, 11:05

Also so ein Report kam nicht aber er hat gemeldet keine versteckten Gegenstände gefunden zu haben oder Dateien.

Scheint also demnach alles i.O. zu sien

Wenn ich noch etwas tun soll sag bescheid, ansonsten vielen Dank für die Hilfe!!!!!! :aplaus::aplaus::aplaus::aplaus::aplaus:

**Sunny** · 14.09.2007, 11:42

Zitat:

Zitat von MongoMogli

Wenn ich noch etwas tun soll sag bescheid, ansonsten vielen Dank für die Hilfe!!!!!! :aplaus::aplaus::aplaus::aplaus::aplaus:

Wenn weiterhin keine Probleme mehr auftreten würde ich sagen das dein System wieder halbwegs "clean" ist.

Ein gewisses Restrisiko bleibt trotzdem immer bestehen!

Dann noch viel Spass im Netz ...

Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?

Plagegeister aller Art und deren Bekämpfung: Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?