Also so viel zum Thema sauberes System....

Habe nochmal Kaspersky durchlaufen lassen und dann den hier gefunden:

Not a Virus:Adware.Win32.Vapsup.ho

Need help um den zu löschen und wahrscheinlich ist da auch noch mehr zu finden.

Gefunden wurde der in gefundenatei: C:\System Volume Information\_restore{CDD9B48B-BF0A-4701-AB05-7C23DF81BC6A}\RP7\A0000526.dll
Mein frisches Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:49:59, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\SpeedFan\speedfan.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bitte antwortet diesmal jemand

MFG HoM3R

Hallo

mach bitte mal alle versteckten Dateien und Ordner sichtbar.

Dann deaktiviere die bitte Systemwiederherstellung

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Benenne bitte die Hijackthis.exe um in z.B. ABC.exe, erstelle und poste das neues Log.

MFG

Hallo Nochdigger!

Thx für deine Antwort!!

Habe alles gemacht wie du es gesagt hast.

Hier das Combofix Logfile:

ComboFix 07-10-23.2 - HoM3R 2007-10-23 10:48:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: D:\Tools\AntiViRus\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\dat.txt
C:\WINDOWS\regedit.com
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-23 bis 2007-10-23 ))))))))))))))))))))))))))))))
.

2007-10-23 10:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-23 10:23 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-21 12:53 1,400 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-21 05:27 <DIR> d-------- C:\Programme\DivX Total Pack
2007-10-20 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\****************.com
2007-10-20 14:10 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-10-20 14:08 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-10-20 14:00 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-10-20 13:32 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-10-20 13:32 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-10-20 13:32 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2007-10-20 13:32 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-10-18 18:36 <DIR> d-------- C:\Direct X9
2007-10-18 18:26 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-10-18 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\Talkback
2007-10-15 22:56 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-10-15 22:56 5,069,600 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-15 22:56 204,832 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-15 22:56 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-15 22:56 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-10-15 20:41 <DIR> d-------- C:\Programme\Railroad Tycoon II - Platinum
2007-10-14 15:37 <DIR> d-------- C:\bases_x
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-13 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-13 14:27 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\SecuROM
2007-10-13 14:17 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-10-13 07:47 3,430,146 --a------ C:\WINDOWS\REGBK01.ZIP
2007-10-13 06:59 0 --a------ C:\WINDOWS\ativpsrm.bin
2007-10-13 06:28 <DIR> d-------- C:\Program Files
2007-10-13 06:27 <DIR> d-------- C:\Programme\ICQLite
2007-10-13 06:27 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\ICQLite
2007-10-13 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\InstallShield
2007-10-12 23:20 <DIR> d-------- C:\Programme\prime95
2007-10-12 21:57 <DIR> d-------- C:\Programme\CPU-Z 1.41
2007-10-12 21:49 <DIR> d-------- C:\Programme\AutoRuns Config
2007-10-12 21:47 <DIR> d-------- C:\Programme\MSBuild
2007-10-12 21:45 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-10-12 21:44 <DIR> d-------- C:\Programme\Reference Assemblies
2007-10-12 21:44 14,048 --a------ C:\WINDOWS\system32\spmsg2.dll
2007-10-12 18:58 <DIR> d-------- C:\Programme\Nero
2007-10-12 18:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-10-09 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\Ulead Systems
2007-10-09 13:00 <DIR> d-------- C:\Programme\Zylom Games
2007-10-03 18:58 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-10-03 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\teamspeak2
2007-10-03 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\Media Player Classic
2007-09-30 18:43 <DIR> d-------- C:\Programme\Activision
2007-09-30 18:41 <DIR> d-------- C:\Programme\DAEMON Tools
2007-09-30 18:38 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-09-30 17:13 <DIR> d-------- C:\Programme\eMule
2007-09-30 14:47 <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Desktop
2007-09-29 22:45 1,451 --a------ C:\WINDOWS\mozver.dat
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-29 14:26 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-29 14:26 2,987,180 --a------ C:\WINDOWS\REGBK00.ZIP
2007-09-29 14:18 <DIR> d-------- C:\PUB
2007-09-29 14:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice.WINDOWS\Vorlagen
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice.WINDOWS\Startmen�
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice.WINDOWS\Favoriten
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice.WINDOWS\Dokumente
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice.WINDOWS\Anwendungsdaten
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\localservice.WINDOWS\Vorlagen
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\localservice.WINDOWS\Startmen�
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\localservice.WINDOWS\Favoriten
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\localservice.WINDOWS\Dokumente
2007-09-29 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\localservice.WINDOWS\Anwendungsdaten
2007-09-29 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\ICQ
2007-09-29 14:01 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-09-29 13:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-09-29 13:59 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-09-29 13:56 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Vorlagen
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Startmen�
2007-09-29 13:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Netzwerkumgebung
2007-09-29 13:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Lokale Einstellungen
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Favoriten
2007-09-29 13:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Druckumgebung
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Vorlagen
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten
2007-09-29 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente
2007-09-29 13:53 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Anwendungsdaten
2007-09-29 13:53 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten
2007-09-29 13:49 <DIR> d-------- C:\kav
2007-09-29 13:44 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-29 13:32 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\MailFrontier
2007-09-29 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\HoM3R\Anwendungsdaten\ATI
2007-09-29 13:14 49,152 -ra------ C:\WINDOWS\system32\ChCfg.exe
2007-09-29 13:12 16,132,608 -ra------ C:\WINDOWS\RTHDCPL.exe
2007-09-29 13:12 2,808,832 -ra------ C:\WINDOWS\alcwzrd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-23 08:18 71,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-23 08:18 23,096 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-20 11:33 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2007-10-20 11:33 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2007-10-20 11:33 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2007-10-20 11:33 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2007-10-20 11:33 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2007-10-20 11:33 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2007-10-20 11:33 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2007-10-20 11:33 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2007-09-29 12:17 9,106 ----a-w C:\WINDOWS\winsbak.reg
2007-09-29 12:17 70,020 ----a-w C:\WINDOWS\winsbak2.reg
2007-09-29 05:46 47,376 ----a-w C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 03:05 2,456,064 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-09-06 14:14 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-09-06 14:14 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-08-13 16:54 413,696 ----a-w C:\WINDOWS\system32\vbscript.dll
2007-08-13 16:54 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2007-08-13 16:45 78,336 ----a-w C:\WINDOWS\system32\ieencode.dll
2007-08-13 16:44 40,960 ----a-w C:\WINDOWS\system32\licmgr10.dll
2007-08-13 16:42 17,408 ----a-w C:\WINDOWS\system32\corpol.dll
2007-08-13 16:39 71,680 ----a-w C:\WINDOWS\system32\admparse.dll
2007-08-13 16:39 55,296 ----a-w C:\WINDOWS\system32\iesetup.dll
2007-08-13 16:36 36,352 ----a-w C:\WINDOWS\system32\imgutil.dll
2007-08-13 16:32 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2007-08-13 16:01 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
2007-08-06 18:58 43,520 ----a-w C:\WINDOWS\killproc.exe
2007-08-06 18:55 1,069,056 ----a-w C:\WINDOWS\system32\contfilt.dll
2007-08-06 18:39 44,544 ----a-w C:\WINDOWS\inst_tsp.exe
2007-08-06 18:39 356,352 ----a-w C:\WINDOWS\system32\mwtsp.dll
2007-08-06 18:36 126,976 ----a-w C:\WINDOWS\system32\mwnsp.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 16:14]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup]
C:\DOKUME~1\HoM3R\LOKALE~1\Temp\is-3EDG2.tmp\AdVantageSetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
"C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMEKRMIG6.1]
C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
"C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"c:\programme\valve\steam\steam.exe" -silent

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-23 08:36:55 C:\WINDOWS\Tasks\SpeedFan.job"
- C:\PROGRA~1\SpeedFan\speedfan.exe
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 10:54:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-23 10:55:16
.
--- E O F ---
Und das neue Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 11:04:54, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\abc\abc.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffe habe nix falsch gemacht mit den Logs.

MFG HoM3R

Hallo

lass bitte diese Dateien :

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 35 AntiVirus Engine, Last Update(071019)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo!

Also die genannten Dateien kann ich leider alle samt nicht scannen lassen,weil das gar keine Dateien sind,sondern Ordner.
Dies ist aber ziemlich merkwürdig,da diese Ordner keinen Inhalt haben

Ich habe auch noch alle Dateien anzeigen lassen,angeschaltet.

Was schlägst du jetz vor?

Ich muss auch noch sagen,dass es mir irgendwie nicht mehr möglich ist Direct X 9 zu aktualisieren und neue Games,die auf Direct X zugreifen zum laufen zu bringen. Da kommt dann immer die Fehlermeldung,dass D3dx_30.dll keine Win32.dll Datei ist. Hä????
Das ist aber erst seit ich den Virus mit Kaspersky gefunden habe.

Also ziemlich merkwürdig,denn vorher installierte Games laufen normal.

Hoffe du weißt da Rat

MFG HoM3R

Hallo

Zitat:

Was schlägst du jetz vor?

Neuaufsetzen des Systems und anschliessende Absicherung!

Warum neu aufsetzen

Zitat:

W32/Looked-AI ist ein Virus für die Windows-Plattform.

W32/Looked-AI enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

W32/Looked-AI verbreitet sich zudem über Netzwerkfreigaben.

Der Virus infiziert PE EXE-Dateien auf dem infizierten Computer.

Kannst du hier nachlesen --> http://www.sophos.de/security/analyses/w32lookedai.html

Ich denke eine Bereinigung könnte zu einem Kampf gegen Windmühlen werden, nicht zu vergessen eventuell schlummert auf deinem System auch noch ein Vundo.
Trotzdem gibt es eine Anleitung zur Bereinigung die ich dir nicht vorenthalten möchte, obs klappt kann ich dir nicht sagen.
http://virus-protect.org/artikel/spyware/rundl132_dll.html

MFG

Hallo!

So was habe ich mir irgendwie schon gedacht.
Ich habe zwar nie was Offensichtliches gesehen,aber bemerkt habe ich das Verhalten trotzdem irgendwie.
So werde ich wohl neu aufsetzen,denn dies scheint mir die sicherste Methode zu sein.

Der Vundo könnte also überall sein?? Also muss ich wohl komplett alles vernichten auf der Festplatte?

Ich gehe am Freitag zu ner großen LAN Party,heisst das dann wenn ich nicht neuaufsetze bis dahin,dass ich wohlmöglich die anderen im Netzwerk infiziere?

Tausend dank an dich nochdigger,du hast mir sehr geholfen!

MFG HoM3R

Hallo

Zitat:

So werde ich wohl neu aufsetzen,denn dies scheint mir die sicherste Methode zu sein.

Auf jeden Fall, alles andere währe in meinen Augen fahrlässig.

Zitat:

Der Vundo könnte also überall sein?? Also muss ich wohl komplett alles vernichten auf der Festplatte?

Vundo, so hab ich es verstanden das er laut Auswertung auf deinem System ist/war, ist lästig und hardnäckig (geworden) ist aber das kleinere Problem währe auch lösbar, die anderen Kandidaten sind weitaus gefährlicher.

Zitat:

Ich gehe am Freitag zu ner großen LAN Party,heisst das dann wenn ich nicht neuaufsetze bis dahin,dass ich wohlmöglich die anderen im Netzwerk infiziere?

So kann es kommen, du würdest dir nicht viele Freunde mit der Aktion

Zitat:

W32/Looked-AI verbreitet sich zudem über Netzwerkfreigaben.

machen.
Sichere deine Daten nur bitte keine ausführbaren Dateien (so weh es auch tut) wie z.B. exe, bat, pif, scr usw., sichere nur Bilder MP3 Filme und Officedateien.

MFG

Hi nochdigga,

also ich werde deinen Ratschlägen folgen.

Ich möchte mich an dieser Stelle bei dir für deine unkomplizierte Hilfe bedanken und ich hoffe,wenn es mal wieder Probleme gibt,dass es wieder so guten Support gibt.

THX und Grüße von Leipzig nach Hamburg

HoM3R