| |
| |||||||
Log-Analyse und Auswertung: TR/Vundo.Gen nicht löschbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
27.12.2007, 16:46
| #1 |
 |  TR/Vundo.Gen nicht löschbar So, hier nun der Antivir report AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 27. Dezember 2007 16:40 Es wird nach 993748 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: F**** Computername: F****-OEGG4E9 Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 15:28:48 ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26.12.2007 15:28:48 ANTIVIR3.VDF : 7.0.1.163 17920 Bytes 27.12.2007 15:28:48 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 27.12.2007 15:28:48 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 27.12.2007 15:28:48 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 27. Dezember 2007 16:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '27' Prozesse mit '27' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen Die Registry wurde durchsucht ( '33' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bx93sjgx.default\Cache\3397BD01d01 [FUND] Ist das Trojanische Pferd TR/Drop.Agent.cro [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47accb44.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gos10A.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8b.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gosF8.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8d.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\win10E.exe [FUND] Ist das Trojanische Pferd TR/Zlob.CA.78 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb8c.qua' verschoben! C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\winFE.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb93.qua' verschoben! C:\WINDOWS\system32\awtsrsq.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003 [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Donnerstag, 27. Dezember 2007 17:30 Benötigte Zeit: 50:21 min Der Suchlauf wurde vollständig durchgeführt. 7275 Verzeichnisse wurden überprüft 407396 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 407389 Dateien ohne Befall 3445 Archive wurden durchsucht 4 Warnungen 51 Hinweise Geändert von PalimPalim (27.12.2007 um 17:39 Uhr) |
|
27.12.2007, 17:33
| #2 |
| | TR/Vundo.Gen nicht löschbar Hallo,
__________________habe mir wie so viele diesen tollen Trojaner eingefangen, welchen ich auch mit Vundofix nicht wegbekomme. Sowohl abgesicherten Modus als auch ohne. Erst hat er zwei Dateien gefunden, welche ich daraufhin gelöscht habe. Nun ist Vundo aber immernoch auf dem Rechner und Vundofix findet nix mehr. Habe hier mal ein HijackThis logfile erstellt: Logfile of HijackThis v1.99.1 Scan saved at 17:16:41, on 27.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p:// Google R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\awtsrsq.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [qlipudif] rundll32.exe "C:\Programme\qlipudif\iruhqrqd.dll",Init O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: awtsrsq - C:\WINDOWS\SYSTEM32\awtsrsq.dll O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe So, hoffe das das so jetzt inordnung ist. Ein Antivir Logfile folgt auf dem Fuße |
|
27.12.2007, 18:08
| #3 |
| | TR/Vundo.Gen nicht löschbar Hallo, also lade das mal bei Visutotal.com hoch und Poste das Ergebniss.
__________________Und zwar forgendes: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll C:\WINDOWS\system32\awtsrsq.dll Fixe das hier im Abgesicherten Modus: Code:
ATTFilter O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All
--
Users\Anwendungsdaten\mrepmbon.dll"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
--
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing)
--
Unbekannt
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing)
--
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
--
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll"
--
Anleitung&Download MFG Seitsef
__________________ |
|
27.12.2007, 18:18
| #4 |
| | TR/Vundo.Gen nicht löschbar Sorry, hab keine Ahnung von der ganzen Sache. Also wenn ich den Dateipfad da angebe und auf senden gehe, komm bloß "0 bytes size received / Se ha recibido un archivo vacio" Wie soll das funktionieren? Und wie soll ich die Zeilen denn fixen? Also hab das nochmal per email probiert, weil die Systeme wohl ausgelastet sind und man gerade keinen check machen kann. Dummerweise lässt sich die eine Datei nicht anhängen und die andere gibt es scheinbar garnicht mehr: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll Geändert von PalimPalim (27.12.2007 um 18:26 Uhr) |
|
27.12.2007, 21:42
| #5 |
| /// AVZ-Toolkit Guru   | TR/Vundo.Gen nicht löschbar Hallo PalimPalim. Uodate deinen i_Net Explorer bitte auf die aktuelle 7ner Version. Auch wenn du ihn nicht nutzt  Danach führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: * Blacklight* eScan halte bitte die Reihenfolge ein und starte den Rechner nach dem eScan NICHT neu! Poste das log und warte ab bis ich dir zurückgeschrieben habe! Deinen Rechner stört es übrigens nicht wenn er mal eine Nacht durchläuft..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
28.12.2007, 00:46
| #6 |
| | TR/Vundo.Gen nicht löschbar Ok, also hier schonmal die ersten 3. Escan folgt wohl erst morgenfrüh, werde den Rechner rnicht ausschalten bis dahin. Blacklight 12/27/07 23:41:18 [Info]: BlackLight Engine 1.0.67 initialized 12/27/07 23:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/27/07 23:41:18 [Note]: 7019 4 12/27/07 23:41:18 [Note]: 7005 0 12/27/07 23:41:22 [Note]: 7006 0 12/27/07 23:41:22 [Note]: 7011 1840 12/27/07 23:41:22 [Note]: 7026 0 12/27/07 23:41:23 [Note]: 7026 0 12/27/07 23:41:23 [Note]: FSRAW library version 1.7.1024 12/27/07 23:44:49 [Note]: 2000 1012 12/27/07 23:45:45 [Note]: 7007 0 Habe ich jetzt kein anderes logfile zu gefunden.. Silent Runners: "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "NVIDIA nTune" = ""C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear" ["NVIDIA"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "0IP5J3bsBJ" = "rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."] "RivaTuner" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T" [empty string] "NvCplDaemon" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = ""nwiz.exe" /install" ["NVIDIA Corporation"] "NvMediaCenter" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "RivaTunerStartupDaemon" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S" [empty string] "avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "NoIE4StubProcessing" = "C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f" [MS] HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub" \StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS] >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS] >{60B49E34-C7CC-11D0-8953-00A0C90347FF}\(Default) = "Browser Customizations" \StubPath = "RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP" [MS] {89820200-ECBD-11cf-8B85-00AA005B4383}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\ie4uinit.exe -BaseSettings" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00" -> {HKLM...CLSID} = "XTTBPos00 Class" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {76F262CF-0308-0FB4-F7A3-043266F3A47C}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Kbenhqmw\ljjkjrol.dll" [file not found] {DB0B918E-A0A8-482B-8D75-A682816B0C7B}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}" = "*b" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> awtsrsq\DLLName = "awtsrsq.dll" [file not found] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"] PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" -> {HKLM...CLSID} = "PowerISO" \InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "ClassicShell" = (REG_DWORD) dword:0x00000000 {User Configuration|Administrative Templates|Windows Components|Windows Explorer| Enable Classic Shell / Turn on Classic Shell} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp" Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {E59EB121-F339-4851-A3BA-FE49C35617C2}\ "ButtonText" = "ICQ6" "MenuText" = "ICQ6" "Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"] <<H>> "{F4F10C1D-87C7-404A-B4B3-000000000000}" = (no title provided) -> {HKLM...CLSID} = "SrchHook Class" \InProcServer32\(Default) = "C:\PROGRA~1\DAP\SBSearch.dll" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] ---------- (launch time: 2007-12-27 23:50:44) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 30 seconds, including 18 seconds for message boxes) |
|
28.12.2007, 00:47
| #7 |
| | TR/Vundo.Gen nicht löschbar Combo Fix: ComboFix 07-12-21.4 - Florian 2007-12-27 23:52:05.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2836 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\PerfInfo C:\WINDOWS\PerfInfo\0IP5J3bsBJuc.exe C:\WINDOWS\PerfInfo\0IP5J3bsBJud.exe . ((((((((((((((((((((((( Dateien erstellt von 2007-11-27 bis 2007-12-27 )))))))))))))))))))))))))))))) . 2007-12-27 23:41 . 2007-12-27 23:41 <DIR> d-------- C:\WINDOWS\system32\de-de 2007-12-27 23:41 . 2007-12-27 23:41 751 --a------ C:\WINDOWS\system32\spupdsvc.inf 2007-12-27 23:40 . 2007-12-27 23:40 <DIR> d-------- C:\WINDOWS\LastGood 2007-12-27 20:33 . 2007-12-27 20:33 <DIR> d---s---- C:\Dokumente und Einstellungen\Florian\UserData 2007-12-27 19:16 . 2007-12-27 19:16 <DIR> d-------- C:\Programme\Webroot 2007-12-27 19:09 . 2007-12-27 19:09 164 --a------ C:\install.dat 2007-12-27 18:21 . 2007-12-27 18:21 <DIR> d-------- C:\Programme\VirusTotalUploader 2007-12-27 16:27 . 2007-12-27 16:27 <DIR> d-------- C:\Programme\Avira 2007-12-27 15:17 . 2007-12-27 15:35 <DIR> d-------- C:\VundoFix Backups 2007-12-27 14:51 . 2007-12-27 14:51 <DIR> d-------- C:\Programme\Lavasoft 2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\WINDOWS\ppqvmpqr 2007-12-27 14:38 . 2007-12-27 14:45 <DIR> d-------- C:\Programme\Kbenhqmw 2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\Program Files 2007-12-27 14:38 . 2007-12-27 14:38 1,283,174 --a------ C:\Install 2007-12-27 14:38 . 2007-12-27 14:38 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll 2007-12-27 14:37 . 2007-12-27 14:54 <DIR> d-------- C:\Programme\qlipudif 2007-12-27 14:26 . 2007-12-27 23:02 <DIR> d-------- C:\Programme\Steam 2007-12-22 17:33 . 2007-04-22 16:48 <DIR> d-------- C:\Programme\The Witcher 2007-12-22 15:47 . 2007-12-22 15:47 <DIR> d-------- C:\Programme\id Software 2007-12-22 10:10 . 2007-12-22 10:11 <DIR> d-------- C:\Cryptload 2007-12-22 08:44 . 2007-12-22 08:44 <DIR> d-------- C:\Programme\Paragon Software 2007-12-22 08:44 . 2006-10-02 10:51 4,239,360 --a------ C:\WINDOWS\system32\qtp-mt334.dll 2007-12-22 08:44 . 2006-10-02 10:51 30,808 --a------ C:\WINDOWS\system32\drivers\hotcore2.sys 2007-12-22 08:44 . 2006-10-02 10:51 8,192 --a------ C:\WINDOWS\system32\wnaspi32.dll 2007-12-21 11:34 . 2007-12-21 11:45 <DIR> d-------- C:\Programme\THQ 2007-12-20 21:38 . 2007-12-20 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Bioshock 2007-12-20 11:54 . 2007-12-22 08:50 <DIR> d-------- C:\Programme\The Witcher Demo 2007-12-19 11:31 . 2007-12-19 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Uniblue 2007-12-18 16:43 . 2007-12-18 16:43 <DIR> d-------- C:\WINDOWS\ShellNew 2007-12-18 16:43 . 2007-12-18 16:43 403 --a------ C:\WINDOWS\ODBC.INI 2007-12-17 17:26 . 2007-12-17 17:26 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2007-12-17 17:26 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD 2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Stardock 2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock 2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\QuickTime 2007-12-15 12:29 . 2007-12-15 12:30 <DIR> d-------- C:\Programme\iTunes 2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\iPod 2007-12-13 20:22 . 2007-12-13 20:22 <DIR> d-------- C:\Programme\Ubi Soft 2007-12-13 20:10 . 2007-12-13 20:10 <DIR> d-------- C:\Programme\Red Storm Entertainment 2007-12-13 20:08 . 2007-12-13 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2007-12-13 11:46 . 2007-12-22 15:35 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory 2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-12-07 17:41 . 2002-11-28 10:22 140,488 --a------ C:\WINDOWS\system32\comdlg32.ocx 2007-12-07 17:41 . 2002-11-28 10:22 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX 2007-12-07 17:41 . 2002-11-28 10:22 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL 2007-12-07 17:41 . 2002-11-28 10:22 69,632 --a------ C:\WINDOWS\system32\xmltok.dll 2007-12-07 17:41 . 2002-11-28 10:22 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll 2007-12-07 17:41 . 2002-11-28 10:22 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca 2007-12-07 17:41 . 2002-11-28 10:22 29,184 --a------ C:\WINDOWS\system32\MSINET.oca 2007-12-07 17:41 . 2002-11-28 10:22 26,064 --a------ C:\WINDOWS\system32\xmlinst.exe 2007-12-07 17:41 . 2002-11-28 10:22 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-12-07 17:27 . 2007-12-27 00:44 <DIR> d-------- C:\Spiele 2007-12-06 18:57 . 2007-12-19 16:27 <DIR> d-------- C:\Programme\EA GAMES 2007-12-03 20:11 . 2007-12-03 20:14 754 --a------ C:\WINDOWS\WORDPAD.INI 2007-12-01 22:53 . 2007-12-22 10:12 <DIR> d-------- C:\Programs 2007-12-01 22:50 . 2007-12-01 22:50 <DIR> d-------- C:\Programme\Bethesda Softworks 2007-12-01 20:00 . 2007-12-14 08:55 <DIR> d-------- C:\Programme\Xfire 2007-12-01 20:00 . 2007-12-14 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Xfire 2007-12-01 19:51 . 2007-12-01 19:51 <DIR> d--hs---- C:\WINDOWS\ftpcache 2007-12-01 12:26 . 2007-12-01 12:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-11-30 21:29 . 2007-11-30 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2007-11-30 21:29 . 2007-11-30 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nHancer 2007-11-28 20:31 . 2007-11-28 23:42 <DIR> d-------- C:\Programme\7-Zip 2007-11-28 11:16 . 2007-11-28 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-11-28 11:12 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-11-28 11:11 . 2007-11-11 21:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-11-28 11:11 . 2007-12-27 19:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-11-28 11:11 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-11-28 11:11 . 2007-11-28 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-11-27 20:18 . 2007-12-26 14:40 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-27 20:17 . 2007-12-26 14:40 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-11-27 20:17 . 2007-04-22 22:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-11-27 11:30 . 2007-11-27 11:30 <DIR> d-------- C:\Programme\RivaTuner v2.06 2007-11-27 11:14 . 2006-03-23 19:53 442,368 --a------ C:\WINDOWS\system32\CapabilityTable.exe 2007-11-27 11:14 . 2007-11-12 08:03 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE 2007-11-27 11:14 . 2006-03-23 20:51 208,896 --a------ C:\WINDOWS\system32\nvusmb.exe 2007-11-27 11:14 . 2006-03-23 19:51 208,896 --a------ C:\WINDOWS\system32\nvunrm.exe 2007-11-27 11:14 . 2006-04-14 14:00 208,896 --------- C:\WINDOWS\system32\nvuide.exe 2007-11-27 11:14 . 2006-03-22 14:23 109,568 --a------ C:\WINDOWS\system32\drivers\nvtcp.sys 2007-11-27 11:14 . 2006-02-20 13:00 3,903 --a------ C:\WINDOWS\system32\nvnrm.nvu 2007-11-27 11:14 . 2006-02-20 13:00 1,864 --a------ C:\WINDOWS\system32\nvsmb.nvu 2007-11-27 11:14 . 2006-02-20 13:00 1,570 --------- C:\WINDOWS\system32\nvide.nvu 2007-11-27 11:13 . 2007-11-27 11:16 <DIR> d-------- C:\NVIDIA 2007-11-27 09:43 . 2007-11-27 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira |
|
28.12.2007, 00:48
| #8 |
| | TR/Vundo.Gen nicht löschbar Zweiter Teil: . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-27 19:05 --------- d-----w C:\Programme\ICQToolbar 2007-12-27 18:33 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\uTorrent 2007-12-22 14:56 22,328 ----a-w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\PnkBstrK.sys 2007-12-22 14:33 --------- d-----w C:\Programme\Ubisoft 2007-12-21 09:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-12-20 17:06 --------- d-----w C:\Programme\Electronic Arts 2007-12-18 15:42 --------- d-----w C:\Programme\microsoft frontpage 2007-12-14 09:02 --------- d-----w C:\Programme\Activision 2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll 2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll 2007-12-04 23:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll 2007-12-04 23:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe 2007-12-04 23:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys 2007-12-04 23:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll 2007-12-04 23:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll 2007-12-04 23:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll 2007-12-04 23:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll 2007-12-04 23:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll 2007-12-04 23:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll 2007-12-04 23:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll 2007-12-04 23:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe 2007-12-04 23:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-12-04 23:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll 2007-12-04 23:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe 2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll 2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll 2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll 2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll 2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll 2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll 2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll 2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll 2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll 2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll 2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll 2007-12-04 23:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll 2007-12-04 23:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll 2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll 2007-12-04 23:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll 2007-12-04 23:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll 2007-12-04 23:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll 2007-12-04 23:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll 2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll 2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll 2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll 2007-12-04 23:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll 2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll 2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll 2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll 2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll 2007-12-04 23:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll 2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll 2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll 2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll 2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll 2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll 2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll 2007-12-04 23:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll 2007-12-04 23:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll 2007-12-04 23:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll 2007-12-04 23:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll 2007-12-04 23:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll 2007-12-04 23:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll 2007-12-04 23:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll 2007-12-04 23:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll 2007-12-04 23:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll 2007-12-04 23:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll 2007-12-04 23:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll 2007-12-04 23:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe 2007-12-04 23:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe 2007-12-04 23:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll 2007-12-04 23:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll 2007-12-04 23:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe 2007-12-04 23:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll 2007-12-04 23:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe 2007-12-04 23:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll . ((((((((((((((((((((((((((((( snapshot@2007-12-27_19.55.18,71 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-03 23:57:16 61,440 -c----w C:\WINDOWS\ie7\admparse.dll + 2004-08-03 23:57:16 102,400 -c----w C:\WINDOWS\ie7\advpack.dll + 2004-08-03 23:57:18 35,328 -c----w C:\WINDOWS\ie7\corpol.dll + 2007-08-22 13:13:00 357,888 -c----w C:\WINDOWS\ie7\dxtmsft.dll + 2007-08-22 13:13:01 205,312 -c----w C:\WINDOWS\ie7\dxtrans.dll + 2007-08-22 13:13:01 55,808 -c----w C:\WINDOWS\ie7\extmgr.dll + 2004-08-03 23:57:22 38,912 -c----w C:\WINDOWS\ie7\hmmapi.dll + 2004-08-03 23:57:58 34,304 -c----w C:\WINDOWS\ie7\ie4uinit.exe + 2004-08-03 23:57:22 139,264 -c----w C:\WINDOWS\ie7\ieakeng.dll + 2004-08-03 23:57:22 220,672 -c----w C:\WINDOWS\ie7\ieaksie.dll + 2001-08-18 12:00:00 237,568 -c----w C:\WINDOWS\ie7\ieakui.dll + 2004-08-03 23:57:22 323,584 -c----w C:\WINDOWS\ie7\iedkcs32.dll + 2007-08-21 10:30:45 18,432 -c----w C:\WINDOWS\ie7\iedw.exe + 2004-08-03 23:57:22 81,920 -c----w C:\WINDOWS\ie7\ieencode.dll + 2007-08-22 13:13:01 251,392 -c----w C:\WINDOWS\ie7\iepeers.dll + 2004-08-03 23:57:22 49,152 -c----w C:\WINDOWS\ie7\iernonce.dll + 2004-08-03 23:57:22 64,000 -c----w C:\WINDOWS\ie7\iesetup.dll + 2004-08-03 23:57:58 93,184 -c----w C:\WINDOWS\ie7\iexplore.exe + 2004-08-03 23:57:22 35,840 -c----w C:\WINDOWS\ie7\imgutil.dll + 2007-08-22 13:13:01 96,768 -c----w C:\WINDOWS\ie7\inseng.dll + 2006-05-18 05:36:05 450,560 -c----w C:\WINDOWS\ie7\jscript.dll + 2007-08-22 13:13:01 16,384 -c----w C:\WINDOWS\ie7\jsproxy.dll + 2004-08-03 23:57:24 22,016 -c----w C:\WINDOWS\ie7\licmgr10.dll + 2004-08-03 23:58:06 29,184 -c----w C:\WINDOWS\ie7\mshta.exe + 2007-08-22 13:13:02 3,079,168 -c----w C:\WINDOWS\ie7\mshtml.dll + 2007-08-22 13:13:02 449,024 -c----w C:\WINDOWS\ie7\mshtmled.dll + 2004-08-03 23:55:32 57,344 -c----w C:\WINDOWS\ie7\mshtmler.dll + 2001-08-18 12:00:00 146,432 -c----w C:\WINDOWS\ie7\msls31.dll + 2007-08-22 13:13:02 146,432 -c----w C:\WINDOWS\ie7\msrating.dll + 2007-08-22 13:13:02 532,480 -c----w C:\WINDOWS\ie7\mstime.dll + 2004-08-03 23:57:32 97,792 -c----w C:\WINDOWS\ie7\occache.dll + 2007-08-22 13:13:02 39,424 -c----w C:\WINDOWS\ie7\pngfilt.dll + 2007-09-26 17:08:50 33,472 -c----w C:\WINDOWS\ie7\spuninst\iecustom.dll + 2007-09-26 17:06:42 66,048 -c--a-w C:\WINDOWS\ie7\spuninst\ieResetIcons.exe + 2006-09-06 16:42:32 217,312 -c----w C:\WINDOWS\ie7\spuninst\spuninst.exe + 2006-09-06 16:42:34 377,568 -c----w C:\WINDOWS\ie7\spuninst\updspapi.dll + 2004-08-03 23:57:38 37,888 -c----w C:\WINDOWS\ie7\url.dll + 2007-08-22 13:13:03 617,472 -c----w C:\WINDOWS\ie7\urlmon.dll + 2004-08-03 23:57:38 417,792 -c----w C:\WINDOWS\ie7\vbscript.dll + 2007-06-26 13:55:41 851,968 -c----w C:\WINDOWS\ie7\vgx.dll + 2004-08-03 23:57:38 281,088 -c----w C:\WINDOWS\ie7\webcheck.dll + 2007-08-22 13:13:04 664,576 -c----w C:\WINDOWS\ie7\wininet.dll + 2007-08-13 17:39:20 71,680 -c----w C:\WINDOWS\system32\dllcache\admparse.dll + 2007-08-13 17:39:00 123,904 -c----w C:\WINDOWS\system32\dllcache\advpack.dll + 2007-08-13 17:42:54 17,408 -c----w C:\WINDOWS\system32\dllcache\corpol.dll + 2007-08-13 17:54:10 33,792 -c----w C:\WINDOWS\system32\dllcache\custsat.dll + 2007-08-13 17:18:02 60,416 -c----w C:\WINDOWS\system32\dllcache\hmmapi.dll + 2007-08-13 17:39:06 54,784 -c----w C:\WINDOWS\system32\dllcache\ie4uinit.exe + 2007-08-13 17:39:26 152,064 -c----w C:\WINDOWS\system32\dllcache\ieakeng.dll + 2007-08-13 17:39:54 229,376 -c----w C:\WINDOWS\system32\dllcache\ieaksie.dll + 2007-08-13 17:39:50 382,976 -c----w C:\WINDOWS\system32\dllcache\iedkcs32.dll + 2007-08-13 17:45:18 78,336 -c----w C:\WINDOWS\system32\dllcache\ieencode.dll + 2007-08-13 17:39:10 43,008 -c----w C:\WINDOWS\system32\dllcache\iernonce.dll + 2007-08-13 17:39:12 55,296 -c----w C:\WINDOWS\system32\dllcache\iesetup.dll + 2007-08-13 17:43:56 622,080 -c----w C:\WINDOWS\system32\dllcache\iexplore.exe + 2007-08-13 17:36:06 36,352 -c----w C:\WINDOWS\system32\dllcache\imgutil.dll + 2007-08-13 17:44:18 40,960 -c----w C:\WINDOWS\system32\dllcache\licmgr10.dll + 2007-08-13 17:32:30 45,568 -c----w C:\WINDOWS\system32\dllcache\mshta.exe + 2007-08-13 17:01:12 48,128 -c----w C:\WINDOWS\system32\dllcache\mshtmler.dll + 2007-08-13 17:44:06 101,376 -c----w C:\WINDOWS\system32\dllcache\occache.dll + 2007-08-13 17:44:30 105,984 -c----w C:\WINDOWS\system32\dllcache\url.dll + 2007-08-13 17:54:10 413,696 -c----w C:\WINDOWS\system32\dllcache\vbscript.dll + 2007-08-13 17:54:10 231,424 -c----w C:\WINDOWS\system32\dllcache\webcheck.dll + 2007-08-13 17:36:26 61,952 ------w C:\WINDOWS\system32\icardie.dll + 2006-06-29 07:05:44 26,112 ------w C:\WINDOWS\system32\idndl.dll + 2007-02-12 15:10:12 2,451,312 ------w C:\WINDOWS\system32\ieapfltr.dat + 2007-07-11 11:27:48 383,488 ------w C:\WINDOWS\system32\ieapfltr.dll + 2007-08-13 17:54:10 6,049,280 ------w C:\WINDOWS\system32\ieframe.dll + 2007-08-13 17:34:04 266,752 ------w C:\WINDOWS\system32\iertutil.dll + 2007-08-13 17:39:10 13,312 ----a-w C:\WINDOWS\system32\ieudinit.exe + 2007-08-13 17:54:10 180,736 ------w C:\WINDOWS\system32\ieui.dll + 2007-08-13 17:54:10 458,752 ------w C:\WINDOWS\system32\msfeeds.dll + 2007-08-13 17:54:10 50,688 ------w C:\WINDOWS\system32\msfeedsbs.dll + 2007-08-13 17:36:40 12,288 ------w C:\WINDOWS\system32\msfeedssync.exe + 2006-06-28 16:59:26 24,576 ------w C:\WINDOWS\system32\nlsdl.dll + 2006-06-29 07:05:44 23,552 ------w C:\WINDOWS\system32\normaliz.dll - 2007-03-06 01:14:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll + 2006-09-06 16:42:32 15,584 ------w C:\WINDOWS\system32\spmsg.dll - 2005-06-28 09:21:34 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe + 2006-09-06 16:42:32 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe + 2007-08-13 17:45:16 206,336 ------w C:\WINDOWS\system32\WinFXDocObj.exe + 2006-07-14 15:51:51 121,856 ------w C:\WINDOWS\system32\xmllite.dll + 2007-12-27 22:01:35 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_22c.dat . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76F262CF-0308-0FB4-F7A3-043266F3A47C}] C:\Programme\Kbenhqmw\ljjkjrol.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-03 12:32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2006-05-18 07:27 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe] "RivaTuner"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2007-12-05 00:41 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe] "RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-27 16:28] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "NoIE4StubProcessing"="C:\WINDOWS\system32\reg.exe" [2004-08-04 00:58] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsrsq] awtsrsq.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winowl32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk backup=C:\WINDOWS\pss\Sinus 154 stick WLAN Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2007-05-11 03:06 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator] C:\Programme\DAP\DAP.EXE /STARTUP [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2007-12-11 12:10 267048 --a------ C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nHancer] C:\Programme\nHancer\nHancer.exe /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] C:\Programme\Steam\Steam.exe -silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2007-09-25 01:11 132496 --a------ C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wuauserv"=2 (0x2) "SharedAccess"=2 (0x2) "Apple Mobile Device"=2 (0x2) "wscsvc"=2 (0x2) R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2006-10-02 10:51] R3 RivaTuner32;RivaTuner32;C:\Programme\RivaTuner v2.06\RivaTuner32.sys [2007-10-30 19:05] . Inhalt des "geplante Tasks" Ordners "2007-12-24 14:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-27 23:54:02 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-27 23:54:21 C:\ComboFix2.txt ... 2007-12-27 19:55 . 2007-11-13 21:10:22 --- E O F --- |
|
28.12.2007, 01:44
| #9 |
| | TR/Vundo.Gen nicht löschbar Also hier nun das Escan log. Hoffe ich habe das richtig gemacht. Ist komprimiert: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 12/27/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/classicshell)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP106\A0103374.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP116\A0107164.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP118\A0107412.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP133\A0111973.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124450.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP140\A0124639.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\VundoFix Backups\vtuvwxv.dll.bad infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. Datei C:\Cryptload\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP127\A0107845.exe//WiseSFXDropper//WISE0010.BIN markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124470.exe markiert als "not-a-virus:FraudTool.Win32.DrAntispy.ag". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124471.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124473.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\install.dat Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = awtsrsq.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsrsq). Deleting Registry Key awtsrsq... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP111\A0103654.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 124105 Gefundene Viren: 22 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 182 Dauer des Scans bisher: 01:32:33 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 1:41:50,59 Batchende: 1:41:53,20 Mich wundert es ja gerade zu. Mein geliebter Vundo scheint nicht darunter zu sein. Und auch der drop.agent. cro ist nicht mehr da. Hatte die irgendwie umbenannt, da wegen den Teilen ständig Meldungen im Antivir aufpoppten. Vielleicht hängt es damit zusammen aber wiegesagt, besonders viel weiss ich von dem ganzen auch nicht. Beim scan hatte er am Ende 26 Viren angezeigt, wovon viele wohl allerdings fake oder ein Irrtum waren Geändert von PalimPalim (28.12.2007 um 01:56 Uhr) |
|
28.12.2007, 13:28
| #10 |
| | TR/Vundo.Gen nicht löschbar Soweit ich das beurteilen kann, habe ich mir ein einen backdoor eingefangen. Wäre echt dankbar für Hilfe  |
|
28.12.2007, 13:53
| #11 |
| /// AVZ-Toolkit Guru | TR/Vundo.Gen nicht löschbar Also. Das ist so einiges nicht in Ordnung. Durch Vundo steigt momentan niemand so richtig durch; jedenfalls expandiert der wie nichts gutes..  Wir müssen jetzt ein paar Dinge erledigen. Lies dir bitte die folgenden Punkte gut durch und lade dir alle erforderlichen Programme in einen Ordner (nicht auf den Desktop!) herunter. Drucke dir diesen Thread am besten aus oder speichere ihn ebenfalls in diesem Ordner. Trenne deinen Rechner physikalisch vom Netz. Stecker ziehen! Deinstalliere Java über die Sytemsteuerung->Software. Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten. Starte den Rechner zwischen den folgenden Punkten NICHT neu. Auch wenn danach gefragt wird. Starte den Rechner im abgesicherten Modus. So geht's -> TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\ndaTqsVqrX.dll
C:\WINDOWS\system32\reg.exe
C:\WINDOWS\system32\ieudinit.exe
C:\WINDOWS\system32\ie4uinit.exe
C:\PROGRA~1\ICQTOO~1\toolbaru.dll
C:\WINDOWS\system32\awtsrsq.dll
C:\WINDOWS\system32\awtsrsq.dll
C:\WINDOWS\system32\qtp-mt334.dll
C:\WINDOWS\system32\nvcolor.exe
C:\WINDOWS\system32\nvdspsch.exe
C:\install.dat
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip
Folders to delete:
C:\Programme\Kbenhqmw
C:\Programme\qlipudif
4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Dann lassen wir nur zur Sicherheit nochmal Smidtfraudfix und vundofix laufen. Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System bereinigen. (Option 2)  -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans. Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. Nach dem ganze Bereinigungen lässt du cCleaner laufen. (Installation OHNE die Toolbar!) Hinweis: Die Registry (findest du links unter Probleme/Issues) musst du mehrmals durchsuchen und bereinigen lassen. So, das sollte es dann hoffentlich gewesen sein. Melde dich danach mit frischem HJT log und einer Beschreibung wie es deinem Rechner geht.. ^^
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
28.12.2007, 15:03
| #12 |
| | TR/Vundo.Gen nicht löschbar Also es gibt folgendes zusagen: Habe alle Schritte durchgeführt. Avenger erstellte auch ein Logfile nur sagte er, dass dies erneut erstellt werden müsse, weil er es nicht mehr finde. Logfile ist vorhanden, jedoch leer. Er hat die Dateien auch gefunden und gelöscht plus neustart, mit Ausnahme von ein oder zwei, welche wohl nicht mehr vorhanden waren. Lasse gerade noch Vundofix und anschließend CCleaner durchlaufen usw, um dir dann das Hijacklog zu schicken. Ergebnis von Smitfraufix ist hier: SmitFraudFix v2.274 Scan done at 14:53:06,78, 28.12.2007 Run from C:\Notstand\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix.exe by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller #2 - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Reboot C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again. »»»»»»»»»»»»»»»»»»»»»»»» End Geändert von PalimPalim (28.12.2007 um 15:20 Uhr) |
|
28.12.2007, 15:16
| #13 |
| | TR/Vundo.Gen nicht löschbar So, hier das BRANDNEUE HijackThis Logfile: MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Florian\Desktop\HiJackThis202.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 4529 bytes Schon jetzt erstmal tausend Dank! Keine Ahnung, ob jetzt alles inordnung ist, bisher ist nichts auffälliges passiert. Kann man die Systemwiederherstellung jetzt wieder aktivieren, wenn das Logfile soweit okay ist? P.s die Frage mag jetzt vielleicht für Verwirrung stiften aber weshalb steht bei mir der Thread auf dem Kopf?  ernsthaft, der letzte Beitrag steht hier auf Seite 1 ganz oben. So, ICQ toolbar hab ich im nachhinein komplett runtergeschmissen. Geändert von PalimPalim (28.12.2007 um 15:33 Uhr) |
|
28.12.2007, 15:43
| #14 |
| | TR/Vundo.Gen nicht löschbar also mittlerweile hat sich die Begeisterung wieder gelegt Denn gerade poppte wieder das hier auf:  hatte gerade noch eine Datei mit dem namen "23990098.$$$" gefunden, welche nun allerdings sicherheitshalber gelöscht ist. Ok, hab noch nen Ordner "Malware Alarm" ins Jenseits geschickt. Vielleicht waren das ja die Reste. Hoffe nur das wenn dies so ist, dort nicht noch irgendwo eine kontrolldatei schlummert Geändert von PalimPalim (28.12.2007 um 15:49 Uhr) |
|
28.12.2007, 16:10
| #15 |
| | TR/Vundo.Gen nicht löschbar So, habe es nochmal von vorne gemacht: Hier nun das Avenger log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\p^vtbodg ******************* Script file located at: \??\C:\WINDOWS\system32\hqchntlq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ndaTqsVqrX.dll deleted successfully. File C:\WINDOWS\system32\reg.exe deleted successfully. File C:\WINDOWS\system32\ieudinit.exe deleted successfully. File C:\WINDOWS\system32\ie4uinit.exe deleted successfully. Could not open file C:\PROGRA~1\ICQTOO~1\toolbaru.dll for deletion Deletion of file C:\PROGRA~1\ICQTOO~1\toolbaru.dll failed! Could not process line: C:\PROGRA~1\ICQTOO~1\toolbaru.dll Status: 0xc000003a File C:\WINDOWS\system32\awtsrsq.dll not found! Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed! Could not process line: C:\WINDOWS\system32\awtsrsq.dll Status: 0xc0000034 File C:\WINDOWS\system32\awtsrsq.dll not found! Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed! Could not process line: C:\WINDOWS\system32\awtsrsq.dll Status: 0xc0000034 File C:\WINDOWS\system32\qtp-mt334.dll deleted successfully. File C:\WINDOWS\system32\nvcolor.exe deleted successfully. File C:\WINDOWS\system32\nvdspsch.exe deleted successfully. File C:\install.dat deleted successfully. File C:\WINDOWS\system32\swreg.exe deleted successfully. File C:\WINDOWS\system32\swsc.exe deleted successfully. File C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip not found! Deletion of file C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip failed! Could not process line: C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip Status: 0xc0000034 Folder C:\Programme\Kbenhqmw not found! Deletion of folder C:\Programme\Kbenhqmw failed! Could not process line: C:\Programme\Kbenhqmw Status: 0xc0000034 Folder C:\Programme\qlipudif not found! Deletion of folder C:\Programme\qlipudif failed! Could not process line: C:\Programme\qlipudif Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. und hier hijackthis Scan saved at 16:09:13, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programs\HiJackThis202.exe R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 4451 bytes Beim jetzigen start kam wieder irgendwas von dll rundl vermisst. Hab dann wieder mit CCleaner aufgeräumt und bis jetzt ist nichts passiert. So wie es aussieht konnte er einige nicht öffnen, löschen. Vielleicht weil es eben schon geschehen ist. Geändert von PalimPalim (28.12.2007 um 16:15 Uhr) |
|
| Themen zu TR/Vundo.Gen nicht löschbar |
| .dll, 0 bytes, antivir, avg, avgnt.exe, avira, ctfmon.exe, dateien, drivers, einstellungen, fehler, firefox.exe, iexplore.exe, logon.exe, lsass.exe, modul, mozilla, namen, nt.dll, programme, prozesse, quara, registry, rthdcpl.exe, rundll, sched.exe, services.exe, suchlauf, svchost.exe, system, temp, tr/vundo.gen, verweise, virus, virus gefunden, warnung, windows, windows\system32\drivers, winlogon.exe |
Linear-Darstellung
