Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen Befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.11.2007, 11:47   #16
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Hallo Undoreal,

hier sind die LOG`s

Gruß
Schlidi


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:04, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Eigene Dateien\Download\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.metzler-fund-xchange.com/mfxportal2/doorpage.do;jsessionid=F65A3851BA3C414DE3DE1613C301EBFB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {84E0BE1E-F3D9-4442-8322-10DFDC789DD1} - C:\WINDOWS\system32\ddabc.dll
O2 - BHO: {3ed1214e-61cb-2c09-8ff4-f3e613078e1c} - {c1e87031-6e3f-4ff8-90c2-bc16e4121de3} - C:\WINDOWS\system32\rqtdiekp.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150371544399
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150449224296
O23 - Service: Notebook Manager Service (anbmService) - Unknown owner - C:\Acer\eManager\anbmServ.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O24 - Desktop Component 1: (no name) - http://www.gmx.de/

--
End of file - 6266 bytes


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pskill.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\Programme\Bin\btinfodk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Programme\Bin\btinfokd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfodk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfofd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfokd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfolk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.1101". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.1101". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Favoriten\links\ebay.url
Offending file found: C:\WINDOWS\system32\pskill.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\wusn.1 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_44926e7c\winwks\de\basic-nt\updgui.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 137190
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 29
Dauer des Scans bisher: 01:19:24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:42:41,53
Batchende: 11:42:56,35

Alt 20.11.2007, 12:11   #17
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Halli hallo.

Fixe bitte mit HJT folgenden Eintrag:
* O2 - BHO: {3ed1214e-61cb-2c09-8ff4-f3e613078e1c} - {c1e87031-6e3f-4ff8-90c2-bc16e4121de3} - C:\WINDOWS\system32\rqtdiekp.dll *


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:


Files to delete:

C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\rqtdiekp.dll

Folder to delete:

D:\Programme\Bin
D:\Versicherungen\bin

Registry keys to delete:

HKCR\wusn.1

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.
6.) Räume mit CCleaner auf.
__________________

__________________

Alt 20.11.2007, 13:54   #18
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Danke!

Hier schon Mal das Avenger.txt
Es gab eine Fehlermeldung!

eScan läuft (im abgesicherten Modus - richtig?)

Gruß
Schlidi


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\brlpfasi

*******************

Script file located at: \??\C:\WINDOWS\ujoulnei.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\pskill.exe deleted successfully.
File C:\WINDOWS\system32\rqtdiekp.dll deleted successfully.


File Folder to delete: not found!
Deletion of file Folder to delete: failed!

Could not process line:
Folder to delete:
Status: 0xc0000034



Error: D:\Programme\Bin is a folder, not a file!
Deletion of file D:\Programme\Bin failed!

Could not process line:
D:\Programme\Bin
Status: 0xc00000ba



Error: D:\Versicherungen\bin is a folder, not a file!
Deletion of file D:\Versicherungen\bin failed!

Could not process line:
D:\Versicherungen\bin
Status: 0xc00000ba


Completed script processing.

*******************

Finished! Terminate.
__________________

Alt 20.11.2007, 15:26   #19
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Hier das eScan LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\Programme\Bin\btinfodk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Programme\Bin\btinfokd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfodk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfofd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfokd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Versicherungen\bin\btinfolk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\avenger\backup.zip/avenger/pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.1101". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Favoriten\links\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\setupSNK.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_44926e7c\winwks\de\basic-nt\updgui.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 136775
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 01:16:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:22:39,60
Batchende: 15:23:00,37

Alt 21.11.2007, 11:34   #20
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Zitat:
Error: D:\Programme\Bin is a folder, not a file!
Deletion of file D:\Programme\Bin failed!
hast du ganz sicher genau den Text eingefügt der unten steht?

Zitat:
Files to delete:

C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\rqtdiekp.dll

Folder to delete:

D:\Programme\Bin
D:\Versicherungen\bin
die fette Zeile hast du vergessen oder?

Wenn es immer noch nicht klappt dann wechsel in den abgesicherten Modus und lösche die Ordner
Zitat:
D:\Programme\Bin
D:\Versicherungen\bin
dort manuell. Danach leere den Papierkorb und lasse CCleaner laufen.

Melde dich dann mit frischem HJT log.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 21.11.2007, 15:44   #21
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Hallo Undoreal,

hab es noch mal gemacht - mit kopieren/einfügen.
Es bleibt aber dabei.

Habe die Ordner jetzt im ges.Modus manuel gelöscht.
Papierkorb geleert und CCleaner laufen gelassen.

Hier das HJLOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:46, on 21.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE
C:\PROGRA~1\TWINTO~1\MouseElf.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\TwinTouch LuxeMate\EMouse.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Eigene Dateien\Download\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.metzler-fund-xchange.com/mfxportal2/doorpage.do;jsessionid=F65A3851BA3C414DE3DE1613C301EBFB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {08dce1a8-ec08-7c89-15c4-f1695277a013} - {310a7725-961f-4c51-98c7-80ce8a1ecd80} - C:\WINDOWS\system32\qtctyggp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {D927CB7A-D838-4413-BACA-7F16A6316CF2} - C:\WINDOWS\system32\ddabc.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150371544399
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150449224296
O23 - Service: Notebook Manager Service (anbmService) - Unknown owner - C:\Acer\eManager\anbmServ.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O24 - Desktop Component 1: (no name) - http://www.gmx.de/

--
End of file - 7414 bytes

Alt 21.11.2007, 18:21   #22
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Also da sitzt noch was fest was uns im Moment verarscht...

Wechsel also bitte in den abgesicherten Modus und gehe dort folgende Schritte ohne Neustart durch:

1.) Fixe mit HJt folgenden Eintrag: * O2 - BHO: {08dce1a8-ec08-7c89-15c4-f1695277a013} - {310a7725-961f-4c51-98c7-80ce8a1ecd80} - C:\WINDOWS\system32\qtctyggp.dll *

2.) Navigiere zu der Datei ("C:\WINDOWS\system32\qtctyggp.dll") und lösche sie.

3.) cCleaner laufen lassen. Registry mehrmals durchsuchen und bereinigen lassen bis nichts mehr bemängelt wird.

4.) VundoFix laufen lassen.

5.) eScan machen.

6.) Wenn es irgentwie geht lasse mir den eScan Bericht zukommen ohne das du Neustartest oder so.. dann kann ich mir den durchgucken und dir dann posten ob noch was während der Sitzung gelöscht werden muss..
Es schadet deinem Rechner übrigens nicht mal 2 Tage durch zu laufen..

Wenn es das nicht bringt müssen wir richtig tief graben..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.11.2007, 16:35   #23
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Hallo Undoreal,

die Zeile (Datei) gab es heute nicht mehr im HJLOG (?!)
Habe CCleaner und Undofix im abgesicherten Modus abgearbeitet.

eScan ist jetzt auch fertig - LOG kommt
und das aktuelle HJ-LOG

Computer ist nicht neu gestartet und immer noch im abgesicherten Modus.

Gruß und immer wieder vielen Dank!
Schlidi

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\rytmjoaq.dll infiziert von "Trojan.Win32.BHO.xe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rytmjoaq.dll infiziert von "Trojan.Win32.BHO.xe" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\ahcpcemb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup-21.11.2007-15.24.28,82.zip/avenger/pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.1101". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ahcpcemb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Favoriten\links\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\dws power inside\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\wusn.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\setupSNK.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_44926e7c\winwks\de\basic-nt\updgui.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 135904
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 01:39:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:30:05,79
Batchende: 16:30:15,60




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:31, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\DOKUME~1\DIRKSC~1.ACE\LOKALE~1\Temp\mexe.com
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Eigene Dateien\Download\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.metzler-fund-xchange.com/mfxportal2/doorpage.do;jsessionid=F65A3851BA3C414DE3DE1613C301EBFB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6AF0F1F4-0C0B-42B0-AAFD-418B27B3B543} - C:\WINDOWS\system32\ddabc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150371544399
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150449224296
O23 - Service: Notebook Manager Service (anbmService) - Unknown owner - C:\Acer\eManager\anbmServ.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O24 - Desktop Component 1: (no name) - http://www.gmx.de/

--
End of file - 6261 bytes

Alt 24.11.2007, 00:28   #24
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Gut, dann das volle Programm:


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Lasse Silentrunners laufen und poste die logFiles..


4) Folge dieser Anleitung.

5) Run Combofix. Poste den erscheinenden Text.

6) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

7) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

9) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 26.11.2007, 11:10   #25
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



OK - dann werd ich mal loslegen

Hier das silent runners log


"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS]
"DDC" = "C:\WINDOWS\system32\uwbpclpm.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"EPM-DM" = "c:\acer\epm\epm-dm.exe" ["Acer Inc"]
"ePowerManagement" = "C:\Acer\ePM\ePM.exe boot" ["Acer Value Labs, Taiwan"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"EPSON Stylus C84 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"" ["SEIKO EPSON CORPORATION"]
"mouseElf" = "C:\PROGRA~1\TWINTO~1\MouseElf.EXE" [empty string]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"RAM Idle Professional" = "C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"320d18a1" = "rundll32.exe "C:\WINDOWS\system32\faqyckmw.dll",b" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{6F51D63C-E6D2-4E67-A64D-1AF06DD68354}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddabc.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
{A95B2816-1D7E-4561-A202-68C0DE02353A}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\btwsqiip.dll" [null data]
{e092c156-c730-46b8-8222-627d4ef1dd7b}\(Default) = "{b7dd1fe4-d726-2228-8b64-037c651c290e}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\uothjpay.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"
-> {HKLM...CLSID} = "EPM-PO Shell Extensions"
\InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> btwsqiip\DLLName = "btwsqiip.dll" [null data]
<<!>> ckpNotify\DLLName = "ckpNotify.dll" ["Check Point Software Technologies"]
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" [file not found]
"AntiSpywareBot Scheduled Scan" -> launches: "C:\Programme\AntiSpywareBot\AntiSpywareBot.exe scheduled" ["2Squared LLC"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 32
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"
-> {HKLM...CLSID} = "Security Toolbar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btwsqiip.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{11A69AE4-FBED-4832-A2BF-45AF82825583}" = (no title provided)
-> {HKLM...CLSID} = "Security Toolbar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btwsqiip.dll" [null data]

Alt 26.11.2007, 11:53   #26
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



ComboFix 07-11-19.4 - Dirk Schlicker 2007-11-26 11:41:20.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.784 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Eigene Dateien\Download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme.\AntiSpywareBot
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme.\AntiSpywareBot\AntiSpywareBot on the Web.lnk
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme.\AntiSpywareBot\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme.\AntiSpywareBot\Uninstall AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\DataBase.ref
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 12 - 05_37_28 PM_500.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 12 - 05_52_33 PM_437.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 12 - 06_04_19 PM_421.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 12 - 06_12_41 PM_140.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 13 - 03_00_00 AM_921.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 13 - 03_00_01 AM_703.log
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\rs.dat
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\CustomScan.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\IgnoreList.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\ScanInfo.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\ScanResults.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\AntiSpywareBot\Settings\Settings.stg
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Favoriten\Online Security Guide.lnk
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntiSpywareBot.exe
C:\Programme\AntiSpywareBot\AntiSpywareBot.url
C:\Programme\AntiSpywareBot\Launcher.exe
C:\Programme\AntiSpywareBot\unins000.dat
C:\Programme\AntiSpywareBot\unins000.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\__c005DF8A.dat
C:\WINDOWS\system32\__c00988D5.dat
C:\WINDOWS\system32\btwsqiip.dllbox
C:\WINDOWS\system32\cbadd.bak1
C:\WINDOWS\system32\cbadd.ini2
C:\WINDOWS\system32\cbadd.tmp
C:\WINDOWS\system32\ddabc.dll
C:\WINDOWS\system32\hftdfruk.exe
C:\WINDOWS\system32\kuqlkydh.dll
C:\WINDOWS\system32\lolluera.exe
C:\WINDOWS\system32\oehnupvg.dllbox
C:\WINDOWS\system32\povlveti.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-10-26 bis 2007-11-26 ))))))))))))))))))))))))))))))
.

2007-11-26 11:00 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2007-11-26 10:53 80,960 --a------ C:\WINDOWS\system32\uothjpay.dll
2007-11-25 12:23 71,232 --a------ C:\WINDOWS\system32\quwdgfpn.exe
2007-11-25 12:20 10,816 --a------ C:\WINDOWS\system32\kksgfyrh.dll
2007-11-24 12:32 144,480 --a------ C:\WINDOWS\system32\pcwnvfmb.dll
2007-11-24 12:26 775,832 ---hs---- C:\WINDOWS\system32\quxxecbh.ini
2007-11-24 12:23 71,232 --a------ C:\WINDOWS\system32\uwbpclpm.exe
2007-11-24 12:20 10,816 --a------ C:\WINDOWS\system32\dylsadog.dll
2007-11-22 16:18 79,936 --a------ C:\WINDOWS\system32\wvwfxlae.dll
2007-11-20 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2007-11-20 09:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-20 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-20 09:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-20 09:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-20 09:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-20 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-20 09:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-20 09:56 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-19 16:47 <DIR> d-------- C:\bases_x
2007-11-19 13:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Intelligent Solution Services
2007-11-19 11:16 83,008 --a------ C:\WINDOWS\system32\aasgvfip.dll
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-16 12:56 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-16 12:55 153,600 --a------ C:\WINDOWS\R.COM
2007-11-16 12:55 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-15 18:12 <DIR> d-------- C:\VundoFix Backups
2007-11-15 15:09 671,496 ---hs---- C:\WINDOWS\system32\bmecpcha.ini
2007-11-15 15:09 85,056 --a------ C:\WINDOWS\system32\ahcpcemb.dll
2007-11-15 15:09 79,936 --a------ C:\WINDOWS\system32\yejhshqg.dll
2007-11-14 10:47 <DIR> d-------- C:\Programme\CCleaner
2007-11-14 10:08 81,472 --a------ C:\WINDOWS\system32\rytmjoaq.dll
2007-11-14 10:05 671,376 ---hs---- C:\WINDOWS\system32\wjtojacv.ini
2007-11-13 12:04 <DIR> d-------- C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\.matplotlib
2007-11-13 11:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-11-13 11:55 <DIR> d-------- C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\DWS Power Inside
2007-11-12 19:31 590,416 ---hs---- C:\WINDOWS\system32\tsupfosw.ini
2007-11-12 19:25 81,472 --a------ C:\WINDOWS\system32\lemgwgcx.dll
2007-11-12 15:14 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-12 15:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2007-11-12 14:51 <DIR> d-------- C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\Simply Super Software
2007-11-12 10:53 177 ---hs---- C:\WINDOWS\system32\jyqyutkq.tmp
2007-11-12 10:53 153 ---hs---- C:\WINDOWS\system32\jyqyutkq.ini
2007-11-12 10:50 81,472 --a------ C:\WINDOWS\system32\eccystwy.dll
2007-10-30 14:58 <DIR> d-------- C:\Programme\Total Video Converter
2007-10-30 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Haufe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-26 10:31 43,104 ----a-w C:\Dokumente und Einstellungen\Dirk Schlicker.ACERLAPTOP\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-26 10:20 3,650 ----a-w C:\WINDOWS\system32\tmp.reg
2007-11-25 11:32 79,936 ----a-w C:\WINDOWS\system32\blslluqf.dll
2007-11-25 11:29 85,056 ----a-w C:\WINDOWS\system32\faqyckmw.dll
2007-11-24 11:35 81,472 ----a-w C:\WINDOWS\system32\rvhjcyvi.dll
2007-11-24 11:32 144,480 ----a-w C:\WINDOWS\system32\btwsqiip.dll
2007-10-25 16:42 8,501,248 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-24 15:35 120 ----a-w C:\drmHeader.bin
2007-10-18 12:32 --------- d-----w C:\Programme\JavaSoft
2007-10-18 12:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Amis
2007-10-18 12:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Allianz Installer
2007-10-18 11:02 --------- d-----w C:\Programme\Bonndata
2007-10-18 11:00 --------- d-----w C:\Programme\BACKUP
2007-10-03 22:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
2007-09-17 19:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 19:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 19:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 19:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-12 00:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-05 22:22 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
2006-06-19 11:46 473 ----a-w C:\Programme\Uninstall NAV-ApoFlexA.lnk
2005-07-06 07:08 391 ------w C:\Programme\File_ID.diz
2005-07-06 07:07 4,584 ------w C:\Programme\Setup.Lst
2005-07-06 07:07 1,095 ------w C:\Programme\Setup.Lst_
2005-07-06 07:03 97,311 ------w C:\Programme\NAV1.exe_
2005-07-06 07:03 57,661 ------w C:\Programme\NAVTool.xls_
2005-07-06 07:03 303,104 ------w C:\Programme\NAV1.exe
2005-07-06 07:03 259,584 ------w C:\Programme\NAVTool.xls
2005-05-11 09:49 133 ------w C:\Programme\MA_Daten.txt_
2005-05-11 09:49 11 ------w C:\Programme\MA_Daten.txt
2005-01-24 09:03 964 ------w C:\Programme\NAVTool.csv_
2005-01-24 09:03 4,716 ------w C:\Programme\NAVTool.csv
2005-01-21 20:33 255 ------w C:\Programme\Zusatz.csv_
2005-01-21 20:33 227 ------w C:\Programme\Zusatz.csv
2004-08-04 13:00 707,430 ------w C:\Programme\msvbvm60.dll_
2004-08-04 13:00 6,312 ------w C:\Programme\stdole2.tlb_
2004-08-04 13:00 44,022 ------w C:\Programme\olepro32.dll_
2004-08-04 13:00 37,559 ------w C:\Programme\asycfilt.dll_
2004-08-04 13:00 298,023 ------w C:\Programme\oleaut32.dll_
2003-03-04 19:42 359,424 ------w C:\Programme\Setup.exe
2000-12-18 13:19 306,688 ------w C:\Programme\Uninstal.exe
2000-12-18 13:19 148,739 ------w C:\Programme\Uninstal.exe_
2000-05-22 00:00 61,866 ------w C:\Programme\Comdlg32.ocx_
1998-07-05 23:00 8,534 ------w C:\Programme\FLXGDDE.DLL_
1998-07-05 23:00 74,752 ------w C:\Programme\ST6UNST.EXE
1998-07-05 23:00 7,088 ------w C:\Programme\CMDLGDE.DLL_
1998-07-05 23:00 67,838 ------w C:\Programme\SETUP.EXE_
1998-07-05 23:00 50,334 ------w C:\Programme\VB6STKIT.DLL_
1998-07-05 23:00 5,197 ------w C:\Programme\TABCTDE.DLL_
1998-07-05 23:00 31,685 ------w C:\Programme\ST6UNST.EXE_
1998-07-05 23:00 290,816 ------w C:\Programme\SETUP1.EXE
1998-07-05 23:00 24,065 ------w C:\Programme\VB6DE.DLL_
1998-07-05 23:00 106,511 ------w C:\Programme\SETUP1.EXE_
1998-06-23 23:00 109,411 ------w C:\Programme\MSFLXGRD.OCX_
1998-06-23 23:00 106,980 ------w C:\Programme\TABCTL32.OCX_
1998-05-30 23:00 8,162 ------w C:\Programme\COMCAT.DLL_
1996-12-13 23:00 538,891 ------w C:\Programme\FM20.DLL_
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-24 12:32 144480 --a------ C:\WINDOWS\system32\btwsqiip.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e092c156-c730-46b8-8222-627d4ef1dd7b}]
2007-11-26 10:53 80960 --a------ C:\WINDOWS\system32\uothjpay.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\btwsqiip.dll [2007-11-24 12:32 144480]

[HKEY_CLASSES_ROOT\clsid\{11a69ae4-fbed-4832-a2bf-45af82825583}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2005-12-16 12:57]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 18:20]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 12:44]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 11:01 C:\WINDOWS\SOUNDMAN.EXE]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-08-12 15:13]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-08-12 15:12]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2004-12-21 12:41]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2004-12-08 14:01]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.exe" [2003-09-12 03:00]
"mouseElf"="C:\PROGRA~1\TWINTO~1\MouseElf.EXE" [2004-08-26 01:45]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-10-02 08:37]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-10-02 08:19]
"RAM Idle Professional"="C:\Programme\TweakNow PowerPack 2006\RAM2_XP.exe" [2006-09-09 10:50]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-16 18:44]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22]
"320d18a1"="C:\WINDOWS\system32\faqyckmw.dll" [2007-11-25 12:29]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\btwsqiip]
btwsqiip.dll 2007-11-24 12:32 144480 C:\WINDOWS\system32\btwsqiip.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
ckpNotify.dll 2004-04-01 17:48 24668 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ddabc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-10-30 09:36 256576 --a------ C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-05-15 00:22 35328 --a------ C:\Programme\Winamp\winampa.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 agfucapi;AGFEO ISDN PC-Adapter;C:\WINDOWS\system32\DRIVERS\AGFUCAPI.SYS
R2 agfwmp;AGFEO NDISWAN Miniport Driver;C:\WINDOWS\system32\DRIVERS\AGFWMP.sys
R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\system32\drivers\epm-psd.sys
R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\system32\drivers\epm-shd.sys
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys
R3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\system32\DRIVERS\OMVA.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-26 10:30:54 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-11-12 14:18:16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-26 11:49:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-26 11:51:58 - machine was rebooted
.
--- E O F ---

Alt 26.11.2007, 17:37   #27
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Da hast du leider einen Jackpot gewonnen Schlidi..

Bei dir läuft ein Backdoor Bot was für dich leider Neuaufsetzten bedeutet.

Anleitung findest du in meiner Signatur.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 27.11.2007, 09:50   #28
Schlidi
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Hallo undoreal,

ist das wirklich die letzte Möglichkeit?
Ich bin mit den Aktionen wie du sie beschrieben hast noch nicht ganz durch, macht das überhaupt noch Sinn?

Gruß
Schlidi

Alt 27.11.2007, 15:19   #29
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen Befall - Standard

TR/Vundo.Gen Befall



Die restlichen Schritte sind überflüssig geworden.

Du musst deine Kiste unbedingt neuaufsetzten und danach alle deine Passwörter ändern.!.

Letzten Endes ersparst du dir damit eine menge Arbeit und ein unsicheres System.. Siehs also positiv dann passt das schon..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TR/Vundo.Gen Befall
acer laptop, alert, antivir, avg, avira, bho, checkpoint, defender, desktop, drivers, einstellungen, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, konvertieren, mozilla, mozilla firefox, pdf-datei, programm, rundll, s-1-5-18, security, software, system, tr/vundo.gen, trend micro, trojaner, usb, virus, windows, windows defender, windows xp




Ähnliche Themen: TR/Vundo.Gen Befall


  1. Hijackthis-Log nach trojan.vundo.h Befall
    Log-Analyse und Auswertung - 03.10.2010 (1)
  2. Trojaner vundo Befall: firefox zeigt nur weiße Seite an + weitere Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (6)
  3. TR/Vundo.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (2)
  4. TR Vundo.gen Befall und noch weitere?
    Log-Analyse und Auswertung - 27.12.2008 (5)
  5. Befall von Vundo und Generic.dx
    Log-Analyse und Auswertung - 15.12.2008 (0)
  6. Bitte um Hilfe, Vundo befall?!
    Plagegeister aller Art und deren Bekämpfung - 25.10.2008 (0)
  7. Googlesuche funktioniert nicht mehr + hatte Vundo Befall
    Mülltonne - 10.08.2008 (0)
  8. Vundo und Agent.DUJ befall!Bitte um Hilfe
    Log-Analyse und Auswertung - 03.07.2008 (0)
  9. TR/Vundo.Gen und TR/Agent25600 Befall!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2008 (18)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. Befall von TR/VUNDO.HJ
    Plagegeister aller Art und deren Bekämpfung - 06.06.2008 (3)
  12. TR/Vundo.gen Befall
    Plagegeister aller Art und deren Bekämpfung - 29.05.2008 (6)
  13. TR./Vundo.Gen Befall!
    Plagegeister aller Art und deren Bekämpfung - 17.05.2008 (10)
  14. Vundo.Gen + Crypt.XPACK.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (36)
  15. Vundo-Befall evtl. schon selbst bereinigt?
    Log-Analyse und Auswertung - 11.02.2008 (2)
  16. TR/Vundo.Gen-Befall...schon wieder einer!
    Mülltonne - 23.11.2007 (0)
  17. Befall von TR Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2007 (9)

Zum Thema TR/Vundo.Gen Befall - Hallo Undoreal, hier sind die LOG`s Gruß Schlidi Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:44:04, on 20.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 - TR/Vundo.Gen Befall...
Archiv
Du betrachtest: TR/Vundo.Gen Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.