Hallo,
nachdem die Outpost Firewall UND Avira Antvir beim Startup mit Fehlermeldungen nicht mehr starten, habe ich mit AVG Anti Spyware das System überprüft, verschiedene Virtumonde-Befälle gefunden und entfernt. Das hat am Problem nichts geändert. Ausserdem sind verschiedene Prozesse im Task-Manager mehrmals vertreten, wie man sieht, allerdings mit einem oder mehr Leerzeichen vor dem ".exe". Ein Leerzeichen vor dem ".exe" taucht auch bei der Fehlermeldung von Avira Antivir auf:"avgnt .exe" statt "avgnt.exe" sei gelöscht oder zerstört, wobei beide Dateien vorhanden sind, nur dass "avgnt .exe" kleiner ist als "avgnt.exe". Bei einer Neuinstallation von Antivir bzw. Outpost passiert nach einem Neustart das selbe.
Ich bitte um Hilfe!
Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:15:20, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ak\Programme\a-squared Free\a2service.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Diskeeper\DkService.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\DAEMON Tools\daemon .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ak\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6BC462-84F5-4F06-A2CE-61F017967B93}: NameServer = 213.191.74.19,213.191.92.87
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\ak\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe



Vielen Dank schonmal!

Bennene die hijackthis.exe bitte in test.com um und erstelle mit der so umbenannten Datei ein neues HijackThis log. Falls du diese beiden "AVGNT" Dateien noch hast, teste sie bitte bei VirusTotal - Free Online Virus and Malware Scan

Hi.
Habe die avgnt-Dateien nicht mehr, aber bevor ich Antivir deinstalliert habe, habe ich es mit AVG Anti-Spyware gescannt und nix gefunden.
Logfile von test.com

Logfile of HijackThis v1.99.1
Scan saved at 17:57:12, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ak\Programme\a-squared Free\a2service.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Diskeeper\DkService.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\DAEMON Tools\daemon .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\ak\programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\ak\test.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DCF0712-36FF-41B8-BFA1-5D6765636B6E} - C:\WINDOWS\system32\mljge.dll (file missing)
O2 - BHO: (no name) - {3FE6702B-BA5A-4BD6-9CF2-617846AEB563} - C:\WINDOWS\system32\ssqpm.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {CA4F0D8D-5F2B-4F16-838A-8D52249EAB21} - C:\WINDOWS\system32\hgghfdd.dll
O2 - BHO: (no name) - {D371F590-DD89-4C32-9355-C3A6A8938F0B} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6BC462-84F5-4F06-A2CE-61F017967B93}: NameServer = 213.191.74.19,213.191.92.87
O20 - Winlogon Notify: hgghfdd - C:\WINDOWS\SYSTEM32\hgghfdd.dll
O20 - Winlogon Notify: ssqnnkh - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\ak\Programme\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\ak\antivirus\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Nutze bitte vundofix: Vundofix
und erstelle danach ein Combofix report. Poste bitte beide Reporte hier.

Combofix

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Nachtrag: Auch wenn die Tools recht sicher sind trotzdem der Hinweis: Nutzung wie immer auf eigene Gefahr und eine Datensicherung waere nie verkehrt

Hi Ralf.
Ich weiß ja nicht, ob sich schon was getan haben sollte, aber die "mit leerzeichen vor dem .exe verdoppelten Tasks" sind immernoch im Task-Manager zu sehen.

Logfile von VundoFix:
---
VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 19:01:23 16.12.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...
---


Und Logfile von Combofix:
---
ComboFix 07-12-21.4 - ak 2007-12-16 19:24:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.288 [GMT 1:00]
ausgeführt von:: C:\ak\antivirus\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\hgghfdd.dll
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\system32\tmp30.tmp
C:\WINDOWS\system32\tmp35.tmp
C:\WINDOWS\system32\tmp38.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip


((((((((((((((((((((((( Dateien erstellt von 2007-11-21 bis 2007-12-21 ))))))))))))))))))))))))))))))
.

2007-12-22 20:05 . 2007-12-16 17:12 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-22 18:57 . 2007-12-18 00:36 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
2007-12-19 14:34 . 2007-12-19 14:34 300 --a------ C:\WINDOWS\game.ini
2007-12-19 14:18 . 2007-12-19 14:18 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-19 13:34 . 2007-12-19 13:34 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-18 23:54 . 2007-12-18 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2007-12-18 22:04 . 2007-12-18 22:04 335 --a------ C:\WINDOWS\mozregistry.dat
2007-12-18 15:19 . 2006-04-20 12:51 359,808 --a------ C:\WINDOWS\system32\drivers\tcpip.sys.flg
2007-12-18 13:20 . 2007-12-18 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Agnitum
2007-12-18 03:23 . 2007-12-18 03:23 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-12-18 03:23 . 2007-12-18 03:23 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-12-18 03:22 . 2007-12-18 03:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software
2007-12-18 03:20 . 2007-12-18 03:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft
2007-12-18 03:10 . 2007-12-18 03:10 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Sunbelt Software
2007-12-18 03:04 . 2007-12-18 03:04 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Grisoft
2007-12-18 03:03 . 2007-12-18 03:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-18 03:03 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-18 03:02 . 2007-12-18 03:02 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Thunderbird
2007-12-18 02:39 . 2007-03-29 13:58 409,600 -----c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-12-18 02:39 . 2007-03-29 13:58 18,944 -----c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-12-18 02:39 . 2007-03-29 13:58 8,192 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-12-18 02:39 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2007-12-18 01:31 . 2007-12-18 01:31 99,024 --a------ C:\WINDOWS\MozillaUninstall.exe
2007-12-18 01:30 . 2007-12-18 01:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\mozilla.org
2007-12-18 01:30 . 2007-12-18 01:30 98,512 --a------ C:\WINDOWS\GREUninstall.exe
2007-12-17 23:57 . 2007-12-17 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-12-17 23:36 . 2007-12-17 23:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-17 23:36 . 2007-12-18 03:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-17 22:53 . 2007-12-17 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Talkback
2007-12-17 22:53 . 2007-12-17 22:53 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\ATI
2007-12-17 22:49 . 2006-12-28 21:10 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Vorlagen
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Startmen�
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Netzwerkumgebung
2007-12-17 22:49 . 2007-12-17 23:30 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Lokale Einstellungen
2007-12-17 22:49 . 2007-12-17 22:52 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Favoriten
2007-12-17 22:49 . 2007-12-16 15:38 <DIR> dr------- C:\Dokumente und Einstellungen\ak\Eigene Dateien
2007-12-17 22:49 . 2006-12-28 21:05 <DIR> d--h----- C:\Dokumente und Einstellungen\ak\Druckumgebung
2007-12-17 22:49 . 2007-12-16 17:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\ak\Anwendungsdaten
2007-12-17 09:21 . 2007-12-17 09:21 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-12-16 19:01 . 2007-12-16 19:01 <DIR> d-------- C:\VundoFix Backups
2007-12-16 17:42 . 2007-12-16 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\ak\Anwendungsdaten\Media Player Classic
2007-12-16 16:49 . 2007-12-21 19:34 326,656 --a------ C:\WINDOWS\system32\ssqpm.exe
2007-12-16 16:15 . 2007-03-15 20:52 6,722 --ahs---- C:\WINDOWS\system32\egjlm.ini2
2007-12-16 16:15 . 2007-03-15 20:52 6,722 --ahs---- C:\WINDOWS\system32\egjlm.ini
2007-12-16 16:09 . 2007-12-16 16:09 326,656 --a------ C:\WINDOWS\system32\RCXE.tmp
2007-12-16 13:57 . 2007-12-16 13:57 326,656 --a------ C:\WINDOWS\system32\RCX11.tmp
2007-12-15 18:51 . 2007-12-15 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2007-12-15 18:44 . 2007-11-01 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-12-08 12:11 . 2007-12-08 12:11 <DIR> d-------- C:\Programme\MSXML 6.0
2007-12-08 12:07 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-02 01:32 . 2007-12-02 01:52 47,104 --a------ C:\WINDOWS\system32\KMVIDC32.DLL
2007-12-02 00:37 . 2007-12-02 00:38 <DIR> d-------- C:\Programme\Scorched3D
2007-11-27 09:03 . 2007-11-27 09:03 <DIR> d-------- C:\Programme\MSECache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-21 18:33 --------- d-----w C:\Programme\DAEMON Tools
2007-12-18 13:19 --------- d-----w C:\Programme\SystemRequirementsLab
2007-12-18 00:41 --------- d-----w C:\Programme\Java
2007-12-17 22:51 --------- d-----w C:\Programme\Google
2007-12-17 22:22 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-17 21:04 --------- d-----w C:\Programme\Diskeeper
2007-12-17 20:38 489,984 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSConfig .exe
2007-12-16 15:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-16 15:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-15 17:46 --------- d-----w C:\Programme\ATI Technologies
2007-12-08 10:58 --------- d-----w C:\Programme\BearShare
2007-11-22 17:46 --------- d-----w C:\Programme\Gothic III
2007-11-08 20:58 --------- d-----w C:\Programme\7-Zip
2007-11-02 05:52 2,644,480 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-11-02 03:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-10-27 17:57 --------- d-----w C:\Programme\Audiograbber
2007-03-15 19:52 6,722 --sha-w C:\WINDOWS\system32\egjlm.ini2
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DCF0712-36FF-41B8-BFA1-5D6765636B6E}]
C:\WINDOWS\system32\mljge.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10387C5A-1747-42C8-AAAF-C161C06C816F}]
2007-03-15 20:59 323072 --a------ C:\WINDOWS\system32\ssqpm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-12-16 17:12]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DiskeeperSystray"="C:\Programme\Diskeeper\DkIcon.exe" []
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-12-16 17:12]
"!AVG Anti-Spyware"="C:\ak\antivirus\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-21 19:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 14:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnnkh]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\ssqpm.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ssqpm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 20:38]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-12-30 01:04]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-02-17 20:47]
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS [2001-12-18 13:45]
R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-18 03:55]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys [2005-04-12 18:21]
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys [2005-04-12 18:21]
S1 ai2cnt;ai2cnt;C:\WINDOWS\system32\drivers\ai2cnt.sys []
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 20:35]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc []
S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 12:28]
S3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys [2005-04-12 18:21]
S3 WmHidLo;Logitech Gaming USB Filter Driver;C:\WINDOWS\system32\drivers\WmHidLo.sys [2005-04-12 18:21]
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys [2005-04-12 18:21]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-21 19:34:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\ssqpm.dll
.
Zeit der Fertigstellung: 2007-12-21 19:35:56 - machine was rebooted
---

Mfg,
Alex.

Ja, das mit den Leerzeichen habe ich schon gesehen. Das scheint eine neue Vundo Variante zu sein.

Es waere nett, wenn du folgende Dateien packen und an thespykiller hochladen koenntest. Anleitung: HijackThis.de Support Board - Einzelnen Beitrag anzeigen - Anscheinend neue Malware

Dateien:

C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\ctfmon.exe Sofern vorhanden
C:\WINDOWS\system32\NeroCheck.exe Sofern vorhanden
C:\WINDOWS\system32\drivers\tcpip.sys.flg
C:\WINDOWS\system32\ssqpm.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSConfig .exe
C:\WINDOWS\system32\ssqpm.dll

Wenn du wuesstest, wo du dir das eingefangen hast, ware es natuerlich noch besser...

Gemacht.
Woher wir es haben weiß ich nicht. Ich weiß nicht mal seit wann. Vielen dank nochmal für Deine Hilfe, ich bin gespannt, wie und ob es weitergeht.
PS: Wieso findet eigentlich Vundofix Java nicht, obwohl es installiert ist?

MfG,
Alex.

Danke. Das mit dem Java wird wohl an dem Leerzeichen bei den Dateien liegen

Mann ist das alles ärgerlich. So ohne Firewall, das hat ja nun GAR keine Zukunft. Was soll ich wohl als nächstes tun? Warten?
Grüße,
Alex.

Neu aufsetzen ist immer noch eine Alternative. Ich kann dir inzwischen soviel sagen, das die Datei ctfmon mit und ohne das Leerzeichen identisch sind, aber bei der umbenannten msconfig sieht das schon schlechter aus.

Scan report of: MSConfig .exe

AntiVir -
Avast! -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web -
eSafe -
eTrust-VET -
Ewido -
F-Prot -
F-Secure -
Fortinet -
Ikarus -
Kaspersky Trojan-Dropper.Win32.Agent.dgo
McAfee -
Microsoft -
Nod32 -
Norman -
Panda -
QuickHeal -
Rising -
Sophos -
Sunbelt -
Symantec -
Trend Micro -
VBA32 -
VirusBuster -
WebWasher

Sprich , das ist einer dieser Dateiinfizierender Vundos mit derzeit grausiger Erkennung. Du kannst Kasperskys Onlinescanner deinen PC pruefen lassen, aber im Grunde wird das wohl auf Neu aufsetzen hinauslaufen....

Neu aufsetzen, sag nicht sowas. Das Ding muss doch irgendwo sitzen, wo man es entfernen kann, z.b. in allen infizierten dateien, oder nicht?

Ja, du must nur sehen, ob du die Orginale findest. Ich habe die Dateien einmal komplett eingeschickt, aber ob und wann ein AV-Programm eine Reinigung, wie gut diese auch sein mag, einbaut.

Vieleicht ergibt sich noch eine Moeglichkeit. Hast du auch noch die msconfig.exe auf deinem Rechner, also ohne das Leerzeichen? Wenn ja, wie gross ist diese?

So wie das fuer mich als halblaie auf dem Gebiet aussieht, erzeugt Vundo einfach eine neue Resourcesection und packt dahin die eigentliche Malware. Also sollte eine Reinigung nicht so schwer zu machen sein, aber Sicherheit bietet das noch lange nicht...

MSConfig .exe : Not detected by Sandbox (Signature: NO_VIRUS)
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Accesses executable file from resource section.
* File length: 489984 bytes.
* MD5 hash: 215d1b251326b9a97647e3e7e09508d7.

für das mit der "resourcesection" fehlen mit dir kenntnisse. die original msconfig.exe ist so wie die anderen originalfiles noch da. die hat aber eine andere größe: 160.768 Bytes. Die anderen Executables mit gleichen Namen (plus leerzeichen vor dem .exe) haben auch verschiedene größen.

Naja, die Dateien ohne die Leerzeichen sind die Orginale. Nur bist du das haendisch umbenannt, geloescht und die anderen Malwaredateien/Reg Eintraege beseitigt hast, bist du mit dem neu aufsetzen schon laengst fertig....

bin ich mir gar nicht so sicher. mit aller software und so... das dauert. aber man müsste wissen, welche reg.-einträge zu löschen sind und in jedem verzeichnis oder durch schlaues suchen nach so einer doppel-exe gucken.