TR/Vundo.Gen - gebca.dll

space_lord · 28.09.2007, 15:20

die INI dateien konnten ohne probleme gelöscht werden.

dann vundofix: aber wieder nix !! wuuuaaaaaah (*heul*)
es gibt eine datei, die immer wieder auftaucht, obwohl ich sie dauernd lösche : acbeg.ini

hier das log:

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 16:05:08 28.09.2007

Listing files found while scanning....

C:\windows\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

myrtille · 28.09.2007, 15:59

Gut, ich hatte leider auch nicht viel anderes erwartet.
Probiere bitte noch folgendes Tool aus:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Poste danach das Log von Combofix und nochmal ein neues filelistlog des system32-ordners der letzten 30 Tage.

lg myrtille

space_lord · 28.09.2007, 16:26

hui, das sieht schon sehr gut aus - nach dem boot von combofix wurde (bisher) kein virus mehr von antivir gefunden ...

das log von filelist:
Verzeichnis von C:\WINDOWS\system32

28.09.2007 17:24 55.081 vsconfig.xml
28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log
26.09.2007 23:52 249.772 TZLog.log
26.09.2007 23:46 13.646 wpa.dbl
05.09.2007 19:50 17.474.680 MRT.exe

combofix log:
ComboFix 07-09-21.2 - "Rainer" 2007-09-28 17:17:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1680 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_50 PM_406.log
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_52 PM_921.log
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\rs.dat
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\CustomScan.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\IgnoreList.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanInfo.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanResults.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\SelectedFolders.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\Settings.stg
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\components
C:\WINDOWS\system32\components\flx0.dll
C:\WINDOWS\system32\components\flx1.dll
C:\WINDOWS\system32\components\flx2.dll
C:\WINDOWS\system32\components\flx3.dll
C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_DOMAINSERVICE
-------\DomainService

((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-28 ))))))))))))))))))))))))))))))
.

2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 16:28 <DIR> d-------- C:\Temp\backups
2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board
2007-09-27 16:07 73,728 --a------ C:\KillBox.exe
2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com
2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe
2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR
2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software
2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll
2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5
2007-09-25 16:28 --------- d-------- C:\Programme\Napster
2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype
2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-10 17:27 --------- d-------- C:\Programme\DivX
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0
2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys
2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService]
"C:\Programme\Logitech\MediaLife\MediaLifeService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
rundll32.exe "C:\WINDOWS\system32\oltxlgnc.dll",sitypnow

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]
rundll32.exe "C:\WINDOWS\system32\atjrmnjo.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 17:24:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-28 17:25:17 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25
.
--- E O F ---

bin ich jetzt *sauber* ?!?!?!?

myrtille · 28.09.2007, 22:16

Noch nicht ganz.

Du hast dir scheinbar eine ganz neue Variante eingefangen, daher müssen noch ein paar Dateien entfernt werden:

Kopiere Folgendes in einen Editor:

Zitat:

file::
C:\WINDOWS\system32\atjrmnjo.dll

registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]

speichere dies nun als "CFScript" ab
(Stelle dabei sicher, dass du als "Dateityp" "alle Dateitypen" anwählst und die Datei keine Endung hat)
Ziehe dann die Datei cfscipt auf combofix.exe, wie du es auf der folgenden Animation sehen kannst:
Es sollte sich nun ein Fenster öffnen, lass den Scan bis zum Schluß durchlaufen, auch wenn deine Desktopicons verschwinden.
Die Logdatei öffnet sich am Schluß des Scans, ihren Inhalt dann bitte hier posten.

Erstelle bitte außerdem noch ein Log von Smitfraudfix. Antispywarebot ist ein Rogueprogramm, das heißt es versucht durch falsche Erfolgsmeldungen, die Leute in Sicherheit zu wiegen/zum Kauf zu verleiten. In diesem Fall lässt es allerdings vor allem auch einige Infektionen (wissentlich) unbehandelt. Smitfraudfix ist auf solche Programme spezialisiert.
Lade dir SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

lg myrtille

space_lord · 29.09.2007, 17:58

oje, dann gehts weiter ...

hier die beiden logs:
ComboFix 07-09-21.2 - "Rainer" 2007-09-29 18:54:42.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00]
* Created a new restore point

FILE::
C:\WINDOWS\system32\atjrmnjo.dll
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-29 ))))))))))))))))))))))))))))))
.

2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 16:28 <DIR> d-------- C:\Temp\backups
2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board
2007-09-27 16:07 73,728 --a------ C:\KillBox.exe
2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com
2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe
2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR
2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software
2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll
2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 23:09 --------- d-------- C:\Programme\Napster
2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5
2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype
2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-10 17:27 --------- d-------- C:\Programme\DivX
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0
2007-07-28 07:44 45296 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-07-28 05:37 8237056 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-07-28 05:31 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-07-28 05:30 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-07-28 05:30 2371584 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-07-28 05:24 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-07-28 05:23 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-07-28 05:23 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-07-28 05:22 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-07-28 05:22 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-07-28 05:22 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-07-28 05:21 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-07-28 05:20 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-07-28 05:12 3067712 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-07-28 05:06 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-07-28 05:01 1550208 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-07-28 04:50 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-07-28 04:47 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-07-28 04:46 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-07-28 04:45 49152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-07-28 04:40 450560 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-07-27 21:05 593920 --------- C:\WINDOWS\system32\ati2sgag.exe
2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys
2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService]
"C:\Programme\Logitech\MediaLife\MediaLifeService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-29 18:55:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-29 18:56:32
C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25
C:\ComboFix2.txt ... 2007-09-28 17:25
.
--- E O F ---

und:

Scan done at 19:01:16,21, 29.09.2007
Run from C:\Dokumente und Einstellungen\Rainer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Rainer\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com Gigabit LOM (3C940) - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

myrtille · 29.09.2007, 18:12

Hi,
sieht gut aus!

Es handelte sich nur noch um 2-3 zu entfernende Einträge von Vundo, die Dateien waren schon weg. Das Log von Smitfraudfix ist auch sauber.

Hast du denn noch Probleme mit dem Rechner?

Dann würde ich dich noch bitten noch ein neues HJT-File zu posten um noch ein letztes Mal drüber zu gucken und sicher zu gehen, dass alles seine Richtigkeit hat.
lg myrtille

space_lord · 29.09.2007, 18:19

ne, läuft alles sauber :-)
antivir "meckert" auch nicht mehr ...

vielen dank für die hilfe !!!

HJT log:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:15, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Temp\Pruefung.com

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

TR/Vundo.Gen - gebca.dll

Log-Analyse und Auswertung: TR/Vundo.Gen - gebca.dll