TR/Agent.37376 + TR/Vundo.Gen, Logs added

Lackmulle · 27.11.2007, 00:29

Hallo Ihr alle!

Bin neu hier und versuch mein Bestes:
Hab ein Problem mit zwei (oder mehr?) Viren/Trojanern.

Namentlich: TR/Vundo.Gen und TR/Agent.37376

Antivir gibt ständig Fehlermeldungen und die Dateien lassen sich werder von Antivi noch manuell oder im abgesicherten Modus löschen.

Zu TR/Vundo.Gen gibts schon einen Post - falls ich mich an den halten kann erübrigt sich der Rest hier - aber ich vermute dass ich hier eine individuell "BEtreuung" brauche ...

Aus dem TR/Vundo.Gen Post hab ich einfach mal diverse einleitende Schritte übernommen, hier die Ergebnisse:

* Vundofix
* ComboFix
* HijackThis - Scan
* MWAV (eScan) - Free Antivirus

* Vundofix

"Done Searching for files. NO infected files were found."

* ComboFix

ComboFix 07-11-19.4 - *** 2007-11-26 23:54:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.709 [GMT 1:00]
ausgeführt von:: F:\Down\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-26 bis 2007-11-26 ))))))))))))))))))))))))))))))
.

2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-26 14:42 153,600 --a------ C:\WINDOWS\R.COM
2007-11-26 14:42 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-26 14:22 <DIR> d-------- C:\VundoFix Backups
2007-11-20 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2007-11-20 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-20 23:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-20 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-20 23:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-19 23:48 37,376 --------- C:\WINDOWS\system32\khfeday.dll
2007-11-18 00:24 <DIR> d-------- C:\Dokumente und Einstellungen\sponkey\Anwendungsdaten\Sonic
2007-11-18 00:24 <DIR> d-------- C:\Dokumente und Einstellungen\sponkey\Anwendungsdaten\Leadertech
2007-11-18 00:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-11-18 00:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\TiVo Shared
2007-11-18 00:16 <DIR> d-------- C:\WINDOWS\system32\dla
2007-11-18 00:16 98,360 --a------ C:\WINDOWS\dla.exe
2007-11-18 00:16 88,080 --a------ C:\WINDOWS\system32\drivers\drvmcdb.sys
2007-11-18 00:16 61,500 --a------ C:\WINDOWS\system32\tfswapi.dll
2007-11-18 00:16 40,544 --a------ C:\WINDOWS\system32\drivers\drvnddm.sys
2007-11-18 00:16 23,545 --a------ C:\WINDOWS\system32\drivers\ssrtln.sys
2007-11-18 00:16 5,627 --a------ C:\WINDOWS\system32\drivers\sscdbhk5.sys
2007-11-18 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-11-15 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.BitTornado
2007-11-12 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
2007-11-12 22:59 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-11-12 22:59 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2007-11-12 22:59 282,624 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-11-12 22:59 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-11-12 22:59 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2007-11-12 22:59 118,784 --a------ C:\WINDOWS\system32\ac3acm.acm
2007-11-12 22:59 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-11-12 22:59 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2007-11-12 22:59 414 --a------ C:\WINDOWS\system32\lame_acm.xml
2007-11-11 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2007-11-11 18:30 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-11-11 18:30 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-11 18:30 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-09 00:57 19,472 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-07 12:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2007-11-07 12:44 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-11-07 12:44 <DIR> d-------- C:\Programme\CanonBJ
2007-11-07 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-11-07 12:44 215,040 --a------ C:\WINDOWS\system32\CNMLM92.DLL
2007-11-07 12:40 <DIR> d-------- C:\Programme\Canon
2007-11-06 21:09 <DIR> d-------- C:\Programme\iPod
2007-11-05 02:09 <DIR> d-------- C:\WINDOWS\Sun
2007-11-04 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-10-28 00:33 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-10-28 00:32 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

.
(((((((((((((((((( Find3M Bericht
.
2007-11-25 20:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\.BitTornado
2007-11-17 23:19 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-08 21:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-11-06 20:09 --------- d-----w C:\Programme\QuickTime
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-10-20 00:56 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-10-20 00:56 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-10-19 11:38 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-10-18 09:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-09-14 21:00 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-09-14 21:00 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-09-14 21:00 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-09-14 19:25 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-09-05 13:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe
.

(((((((((((((((((( Autostart Punkte der Registrierung
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}]
2007-11-19 23:48 37376 --------- C:\WINDOWS\system32\khfeday.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-02-22 12:35 C:\WINDOWS\system32\nwiz.exe]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\QuickSet.exe" [2005-02-07 15:12]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 10:33]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:40]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16]
"iTunesHelper"="F:\iTunes\iTunesHelper.exe" [2007-11-02 18:36]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-03-16 05:33]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ED203331-9C33-49D8-8714-D24A366A04EC}"= C:\WINDOWS\system32\khfeday.dll [2007-11-19 23:48 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 15:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeday]
khfeday.dll 2007-11-19 23:48 37376 C:\WINDOWS\system32\khfeday.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ssqpn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-10-10 19:51 39792 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop-Up-Blocker]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\razer]
2005-04-27 12:14 155648 --a------ f:\treiber\Razer\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
2007-11-20 12:52 587776 --------- F:\Removeit\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48 32881 --a------ C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"rpcapd"=3 (0x3)
"IJPLMSVC"=2 (0x2)

R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S4 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\autoplay.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-09-13 17:59:23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-09-04 18:26:37 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-11-27 00:00:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************
.
Zeit der Fertigstellung: 2007-11-27 0:01:19 - machine was rebooted
.
--- E O F ---

* HijackThis - Scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:38, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
F:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5480 bytes

* MWAV (eScan) - Free Antivirus

~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/26/2007

~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\***\LOKALE~1\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmsecman.jar-69ee0e0e-703b85bf.zip/vlocal.class infiziert von "Trojan-Downloader.Java.Agent.f" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\glb1a2b.exe
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\war3_install.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\glb1a2b.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\war3_install.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!!

~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in G\Shell\AutoRun\command: G:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.3.0.70\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 105152
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 151
Dauer des Scans bisher: 00:46:07
~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:28:16,04
Batchende: 23:28:36,32

TR/Agent.37376 + TR/Vundo.Gen, Logs added

Log-Analyse und Auswertung: TR/Agent.37376 + TR/Vundo.Gen, Logs added

TR/Agent.37376 + TR/Vundo.Gen, Logs added

Ähnliche Themen: TR/Agent.37376 + TR/Vundo.Gen, Logs added