Hallo ihr Lieben,

ich sitze relativ verzweifelt vor meinem Laptop, der seit einigen Tagen wohl durch einen Virus infiziert ist. Nennt sich TR/Vundo.Gen, also so meldet es AntiVir. Seit heute habe ich auch noch irgend einen Dropper( DR.Virtumundo.BLA)...

Ich habe hier schon einige Foren durchgelesen, aber leider verstehe ich oft die Abläufe nicht, und ich bin auf diesen Laptop angewiesen und will nix falsch machen!

Kann mir bitte jemand helfen?

Danke

Hallo,

bitte ein HijackThis Log posten.

Ok, also falls ich das richtig gemacht habe, dann sollte folgendes als Info nützen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:10, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\NuvaTime\NuvaTime.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {D64DF1A8-2301-4B02-8197-FB406A320FDC} - C:\WINDOWS\system32\gebabya.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: NuvaTime.lnk = C:\Programme\NuvaTime\NuvaTime.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebabya - C:\WINDOWS\SYSTEM32\gebabya.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE

--
End of file - 9872 bytes

Hm..

also aus deinem HijackThis log ist nichts schlimmes zu entnehmen.

Mache folgendes:

-> Versteckte dateien sichtbar machen


Combofix

1) - Lade dir Combofix herunter

2) combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!

Ok, die versteckten Dateien hab ich sichtbar gemacht, soll ich HijackThis nochmal machen, oder gleich Combo...???

Nur Combofix.

(Nach dem Combofix fertig ist, bitte Log von Combofix posten!)

Ok, hier nun der Log...

ComboFix 07-12-16.3 - Anna 2007-12-16 19:20:03.1 - NTFSx86
ausgeführt von:: F:\PrivatePROGRAMMS\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-16 bis 2007-12-16 ))))))))))))))))))))))))))))))
.

2007-12-16 19:01 . 2007-12-16 19:01 <DIR> d-------- C:\Programme\Trend Micro
2007-12-11 22:12 . 2007-12-11 22:28 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Programme\Nero
2007-12-11 22:03 . 2007-12-11 22:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-12-11 22:03 . 2007-12-11 22:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-10 18:04 . 2007-12-10 18:04 38,912 --a------ C:\WINDOWS\system32\gebabya.dll
2007-12-02 01:04 . 2007-12-02 01:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 01:04 . 2007-12-02 01:04 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-27 16:04 . 2007-12-10 16:22 261 --a------ C:\WINDOWS\lexstat.ini
2007-11-27 16:01 . 2007-11-27 16:01 <DIR> d-------- C:\Lxk1100
2007-11-27 15:52 . 2007-11-27 16:03 <DIR> d-------- C:\Programme\Lexmark X1100 Series
2007-11-27 15:52 . 2007-11-27 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Anna\WINDOWS
2007-11-27 15:52 . 2002-08-22 15:14 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2007-11-27 15:52 . 2003-08-19 10:29 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2007-11-27 15:52 . 1997-04-08 20:08 299,520 --a------ C:\WINDOWS\uninst.exe
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2007-11-27 15:52 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2007-11-27 15:52 . 2003-08-18 11:56 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2007-11-27 15:52 . 2003-08-18 11:56 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2007-11-27 15:52 . 2003-08-18 11:56 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2007-11-27 15:52 . 2002-09-13 11:40 266 --a------ C:\WINDOWS\system32\lxbkcoin.ini
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-27 15:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 16:08 --------- d-----w C:\Programme\TVgenial
2007-12-12 21:33 --------- d-----w C:\Programme\AnnaTools
2007-12-09 23:19 --------- d-----w C:\Programme\Winamp
2007-11-26 21:53 --------- d-----w C:\Dokumente und Einstellungen\Anna\Anwendungsdaten\Skype
2007-11-05 09:33 --------- d-----w C:\Programme\Smart Projects
2006-12-04 21:42 6,624,984 ----a-w C:\Programme\winamp531_full_emusic-7plus.exe
2006-12-04 17:04 6,615,832 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D64DF1A8-2301-4B02-8197-FB406A320FDC}]
2007-12-10 18:04 38912 --a------ C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Dokument-Manager]
@={666C7833-A9B6-4AB4-94ED-DC238C81E925}

[HKEY_CLASSES_ROOT\CLSID\{666C7833-A9B6-4AB4-94ED-DC238C81E925}]
2005-06-16 18:41 307712 --a------ C:\Programme\HPQ\IAM\Bin\SFSShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:00]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 14:06]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 10:56]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 04:20]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 17:01]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 13:13]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 19:12]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 10:38]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 08:30]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 15:51]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 16:38]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 16:43]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 13:58]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:00 C:\WINDOWS\system32\bthprops.cpl]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-17 21:11]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:46]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-03-17 18:54]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 10:43]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 06:28]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-08-06 19:03]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 09:00]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-05-30 02:34]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D64DF1A8-2301-4B02-8197-FB406A320FDC}"= C:\WINDOWS\system32\gebabya.dll [2007-12-10 18:04 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebabya]
gebabya.dll 2007-12-10 18:04 38912 C:\WINDOWS\system32\gebabya.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 16:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 19:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 19:27:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-16 19:28:54 - machine was rebooted

Und? Wie schauts aus...?

Zitat:

E:\Autorun.inf

hat Combofix gelöscht.

Ansonsten wurden

Zitat:

versteckte Dateien: 0

gefunden.

Wie sieht es denn bei Dir aus?
Virus noch da?

Also der TR/Vundo scheint nicht mehr da zu sein, aber AntiVir meldet immernoch den Dropper... brauche ich für den nen anderes Programm?

Poste bitte den Pfad, den AntiVir anzeigt, wo sich der Virus befindet.

Der DR/Virtumonde.BLA befindet sich unter:

c:\WINDOWS\system32\gebabya.dll



Und danke übrigens für die geduldige Hilfe...

So geht 's weiter:

1) Lade dir den Avenger runter (Siehe Signatur)
2) "Input script manually" anhacken
3) Auf die Lupe klicken
4) kopiere anschließend in "View/edit script" :

Zitat:

Files to delete:
C:\WINDOWS\system32\gebabya.dll

5) Done klicken
6) die gruene Ampel anklicken

das Script wird nun ausgeführt. dann wird der PC automatisch neustarten!

AntiVir hat sich bisher nur 1x nach dem Neustart gemeledet und da war der Dropper in dem Avenger. Ich denke mal das sollte auch so?

Ok, also hier der Log...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iehrgvrv

*******************

Script file located at: \??\C:\Program Files\utjrslfk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\gebabya.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zitat:

File C:\WINDOWS\system32\gebabya.dll deleted successfully (-> Erfolgreich)

Virus müsste weg sein, oder?