HI
Ich hab die log-file auch mal in so einen automatischen log-file auswerter gesteckt und dann gefixt checked hat aber irgendwie nicht gebracht.
HAB IMMER NOCH SO TROJANER:
vielleicht könnt ihr mir ja helfen.






Logfile of HijackThis v1.99.1
Scan saved at 11:03:17, on 10.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\.\Eigene Dateien\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [85afa1c9] rundll32.exe "C:\WINDOWS\system32\inkaywuw.dll",b
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinIRXHelper.lnk = C:\Programme\MSI\Media Center Deluxe II\WinIRXHelper.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallli hallo.

Was für Einträge waren das die du gefixt hast?
Du findest sie unter Backups wieder!


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\inkaywuw.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

soll ich dir die namen der dateien posten die ich schon gefixt habe?????? ich kann diese datein ja auch nochmal durch das virus-total durchlaufen lassen.



hier ist aber auf jeden fall schonmal das ergebnis aus virus-total.



AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.08 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.09 Win32:TratBHO
AVG 7.5.0.516 2008.02.09 Lop
BitDefender 7.2 2008.02.10 Trojan.Vundo.Gen.2
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.10 -
DrWeb 4.44.0.09170 2008.02.09 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.09 -
FileAdvisor 1 2008.02.10 -
Fortinet 3.14.0.0 2008.02.10 -
F-Prot 4.4.2.54 2008.02.10 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.02.09 -
Ikarus T3.1.1.20 2008.02.10 -
Kaspersky 7.0.0.125 2008.02.10 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.10 Trojan:Win32/Vundo.gen!A
NOD32v2 2861 2008.02.09 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.09 Suspicious file
Prevx1 V2 2008.02.10 Lop
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.10 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.10 -
TheHacker 6.2.9.215 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 -
VirusBuster 4.3.26:9 2008.02.09 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.02.10 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 89664 bytes
MD5: 9bd00d1161a4770ad31b00ffec806bee
SHA1: 45e584ae13c1d2a82463be51fcb8d123a91cb2e1
PEiD: -
Prevx info: 25607267.DLL - Prevx

Sehr gut! Da denkt einer mit.. das ist immer schön..

eine VT Auswertung der gefixten Dateien wäre super! Kannst du dir allerdings auch sparen wenn es sich um kryptische .dll Dateien handelt. Die sind dann ebenfalls vom Vundo..

Lasse bitte folgende Tools laufen und poste die entstandenen logfiles:

- VudoFix
- VirutumondeBeGone
- SmitFraudFix
- Combofix

Und lass dir bitte mal die Details eines Dienstes anzeigen:
Start => ausführen => cmd (reinschreiben) => OK
Es öffnet sich ein DOS-Fenster => sc qc MSControlService > C:\services.txt (reinschreiben)
Poste bitte den Inhalt der C:\services.txt

Hallo nochmal.
Bei den gelöschten datein handelt es sich wie du schon vermutet hast auch vundo datein.also brauch ich die doch nicht mehr zu posten.
hier ist auf jeden fall SIND auf jeden fall mal die log-files(wo bildet sich den bei vundO-fix ne log-file????????, und coMbo fix klappt irgendwie nicht)


[02/10/2008, 12:30:32] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" )
[02/10/2008, 12:30:38] - Detected System Information:
[02/10/2008, 12:30:38] - Windows Version: 5.1.2600, Service Pack 2
[02/10/2008, 12:30:38] - Current Username: Chris (Admin)
[02/10/2008, 12:30:38] - Windows is in NORMAL mode.
[02/10/2008, 12:30:38] - Searching for Browser Helper Objects:
[02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\fccayyv
[02/10/2008, 12:30:38] - Found: HKLM\...\Winlogon\Notify\fccayyv - This is probably Virtumundo.
[02/10/2008, 12:30:38] - Assigning {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} MSEvents Object
[02/10/2008, 12:30:38] - BHO list has been changed! Starting over...
[02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} (MSEvents Object)
[02/10/2008, 12:30:38] - ALERT: Found MSEvents Object!
[02/10/2008, 12:30:38] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/10/2008, 12:30:38] - BHO 4: {91a173f6-9c08-4258-8a01-85fc1906c80e} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\hveqsokw
[02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing.
[02/10/2008, 12:30:38] - BHO 5: {A95B2816-1D7E-4561-A202-68C0DE02353A} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\nwiarjue
[02/10/2008, 12:30:38] - Found: HKLM\...\Winlogon\Notify\nwiarjue - This is probably Virtumundo.
[02/10/2008, 12:30:38] - Assigning {A95B2816-1D7E-4561-A202-68C0DE02353A} MSEvents Object
[02/10/2008, 12:30:38] - BHO list has been changed! Starting over...
[02/10/2008, 12:30:38] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/10/2008, 12:30:38] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} (MSEvents Object)
[02/10/2008, 12:30:38] - ALERT: Found MSEvents Object!
[02/10/2008, 12:30:38] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/10/2008, 12:30:38] - BHO 4: {91a173f6-9c08-4258-8a01-85fc1906c80e} ()
[02/10/2008, 12:30:38] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:38] - Checking for HKLM\...\Winlogon\Notify\hveqsokw
[02/10/2008, 12:30:38] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing.
[02/10/2008, 12:30:38] - BHO 5: {A95B2816-1D7E-4561-A202-68C0DE02353A} (MSEvents Object)
[02/10/2008, 12:30:38] - ALERT: Found MSEvents Object!
[02/10/2008, 12:30:38] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/10/2008, 12:30:38] - Finished Searching Browser Helper Objects
[02/10/2008, 12:30:38] - *** Detected MSEvents Object
[02/10/2008, 12:30:38] - Trying to remove MSEvents Object...
[02/10/2008, 12:30:39] - Terminating Process: IEXPLORE.EXE
[02/10/2008, 12:30:39] - Terminating Process: RUNDLL32.EXE
[02/10/2008, 12:30:39] - Disabling Automatic Shell Restart
[02/10/2008, 12:30:39] - Terminating Process: EXPLORER.EXE
[02/10/2008, 12:30:40] - Suspending the NT Session Manager System Service
[02/10/2008, 12:30:40] - Terminating Windows NT Logon/Logoff Manager
[02/10/2008, 12:30:41] - Re-enabling Automatic Shell Restart
[02/10/2008, 12:30:41] - File to disable: C:\WINDOWS\system32\fccayyv.dll
[02/10/2008, 12:30:41] - Renaming C:\WINDOWS\system32\fccayyv.dll -> C:\WINDOWS\system32\fccayyv.dll.vir
[02/10/2008, 12:30:41] - File successfully renamed!
[02/10/2008, 12:30:41] - Removing HKLM\...\Browser Helper Objects\{42A44A09-3A1E-4BA2-B14C-D8398E0C3317}
[02/10/2008, 12:30:41] - Removing HKCR\CLSID\{42A44A09-3A1E-4BA2-B14C-D8398E0C3317}
[02/10/2008, 12:30:41] - Adding Kill Bit for ActiveX for GUID: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317}
[02/10/2008, 12:30:41] - Deleting ATLEvents/MSEvents Registry entries
[02/10/2008, 12:30:41] - Removing HKLM\...\Winlogon\Notify\fccayyv
[02/10/2008, 12:30:41] - Searching for Browser Helper Objects:
[02/10/2008, 12:30:41] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} ()
[02/10/2008, 12:30:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:41] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/10/2008, 12:30:42] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/10/2008, 12:30:42] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/10/2008, 12:30:42] - BHO 3: {91a173f6-9c08-4258-8a01-85fc1906c80e} ()
[02/10/2008, 12:30:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:42] - Checking for HKLM\...\Winlogon\Notify\hveqsokw
[02/10/2008, 12:30:42] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing.
[02/10/2008, 12:30:42] - BHO 4: {A95B2816-1D7E-4561-A202-68C0DE02353A} (MSEvents Object)
[02/10/2008, 12:30:42] - ALERT: Found MSEvents Object!
[02/10/2008, 12:30:42] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/10/2008, 12:30:42] - Finished Searching Browser Helper Objects
[02/10/2008, 12:30:42] - *** Detected MSEvents Object
[02/10/2008, 12:30:42] - Trying to remove MSEvents Object...
[02/10/2008, 12:30:43] - Terminating Process: IEXPLORE.EXE
[02/10/2008, 12:30:43] - Terminating Process: RUNDLL32.EXE
[02/10/2008, 12:30:43] - Disabling Automatic Shell Restart
[02/10/2008, 12:30:43] - Terminating Process: EXPLORER.EXE
[02/10/2008, 12:30:44] - Suspending the NT Session Manager System Service
[02/10/2008, 12:30:44] - Terminating Windows NT Logon/Logoff Manager
[02/10/2008, 12:30:44] - Re-enabling Automatic Shell Restart
[02/10/2008, 12:30:44] - File to disable: C:\WINDOWS\system32\nwiarjue.dll
[02/10/2008, 12:30:45] - Renaming C:\WINDOWS\system32\nwiarjue.dll -> C:\WINDOWS\system32\nwiarjue.dll.vir
[02/10/2008, 12:30:45] - File successfully renamed!
[02/10/2008, 12:30:45] - Removing HKLM\...\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/10/2008, 12:30:45] - Removing HKCR\CLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/10/2008, 12:30:45] - Adding Kill Bit for ActiveX for GUID: {A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/10/2008, 12:30:45] - Deleting ATLEvents/MSEvents Registry entries
[02/10/2008, 12:30:45] - Removing HKLM\...\Winlogon\Notify\nwiarjue
[02/10/2008, 12:30:45] - Searching for Browser Helper Objects:
[02/10/2008, 12:30:45] - BHO 1: {1B0A883E-7952-481E-B1F1-9EC904FC06D3} ()
[02/10/2008, 12:30:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:45] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/10/2008, 12:30:45] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/10/2008, 12:30:45] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/10/2008, 12:30:45] - BHO 3: {91a173f6-9c08-4258-8a01-85fc1906c80e} ()
[02/10/2008, 12:30:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/10/2008, 12:30:45] - Checking for HKLM\...\Winlogon\Notify\hveqsokw
[02/10/2008, 12:30:45] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing.
[02/10/2008, 12:30:45] - BHO 4: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/10/2008, 12:30:45] - Finished Searching Browser Helper Objects
[02/10/2008, 12:30:45] - Finishing up...
[02/10/2008, 12:30:45] - A restart is needed.
[02/10/2008, 12:31:01] - Attempting to Restart via STOP error (Blue Screen!)

[02/10/2008, 12:36:20] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" )
[02/10/2008, 12:36:29] - User choose NOT to continue. Exiting...






SmitFraudFix v2.285

Scan done at 12:28:06,42, 10.02.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Chris


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Chris\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CHRIS\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

der befehl C:\services.txt kann dort aber irgendwie nicht ausgeführt werden.
darf ich die datein die vundofix aufgespürt hat eigentlich löschen?????

Du gibst im Start->ausführen-Feld erst cmd ein.

In dem schwarzen Fenster was sich dann öffnet gibst du sc qc MSControlService > C:\services.txt ein.

Dann postest du den Inhalt der grade angelegten C:\services.txt Datei.

Die Vundofix Dateien solltest du löschen, ja. Steht auch so in der Anleitung

Gab es bei der VirtumondeBeGone-Asuführung eigentlich irgendwelche Fehlermeldungen oder sonstige Meldungen?

ICH HABS GESCHAFFT hier ist es.
udn bei der ausführung von virtumondbegone hat es keine probleme gegeben.


[SC] GetServiceConfig SUCCESS

SERVICE_NAME: MSControlService
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\windows
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Microsoft cache control
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem

hier sind nochmal die neuen logs aus smit fraud und VBG nachdem ich mit smitfraud und vundo noch so einiges gelöscht hab.



SmitFraudFix v2.285

Scan done at 15:36:05,51, 11.02.2008
Run from C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





[02/11/2008, 15:50:29] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Chris\Desktop\VirtumundoBeGone.exe" )
[02/11/2008, 15:50:30] - Detected System Information:
[02/11/2008, 15:50:30] - Windows Version: 5.1.2600, Service Pack 2
[02/11/2008, 15:50:30] - Current Username: Chris (Admin)
[02/11/2008, 15:50:30] - Windows is in NORMAL mode.
[02/11/2008, 15:50:30] - Searching for Browser Helper Objects:
[02/11/2008, 15:50:30] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/11/2008, 15:50:30] - BHO 2: {91a173f6-9c08-4258-8a01-85fc1906c80e} ()
[02/11/2008, 15:50:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/11/2008, 15:50:30] - Checking for HKLM\...\Winlogon\Notify\hveqsokw
[02/11/2008, 15:50:30] - Key not found: HKLM\...\Winlogon\Notify\hveqsokw, continuing.
[02/11/2008, 15:50:30] - BHO 3: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/11/2008, 15:50:30] - BHO 4: {EA5332AA-280E-4FEF-822D-0584877B2B4A} ()
[02/11/2008, 15:50:30] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/11/2008, 15:50:30] - Checking for HKLM\...\Winlogon\Notify\ddabc
[02/11/2008, 15:50:30] - Key not found: HKLM\...\Winlogon\Notify\ddabc, continuing.
[02/11/2008, 15:50:30] - Finished Searching Browser Helper Objects
[02/11/2008, 15:50:30] - Finishing up...
[02/11/2008, 15:50:30] - Nothing found! Exiting...

TACH NOCHMA

ich hab jetz zwar deutlich weniger vitumonde auf meinem pc:aplaus: doch der spyware doctor scan zeigt immer noch 20 infizierungen mit virtumonden an und außerdem 2 infizierungen mit dem trojan-dowloader.conhook...
ne idee vielleicht wie ich die noch wegbekomme??????

Führe bitte einen eScan durch. Anleitung dazu findest du in meiner Signatur.

Alles klar habs geschafft





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 2/11/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\windows infiziert von "Trojan.Win32.Zapchast.dt" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\Virenschutz\NAV\External\NORTON\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Recycled\Dc11.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nwiarjue.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nwiarjue.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Chris\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP365\A0240672.DLL markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP365\A0241656.DLL markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243855.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243919.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{43F07DC6-92FC-4C42-B92E-4F48C15D3C71}\RP366\A0243922.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\mxyqwqft.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\yequldkj.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.dnn". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Chris\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{94a816a0-00fa-11da-a517-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in F\Name\Shell\AutoRun\command: F:\Autorun.exe
Executable Command Found in {94a816a0-00fa-11da-a517-806d6172696f}\Name\Shell\AutoRun\command: F:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\Temp\ZLT01880.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\ZLT047d6.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\ZLT062a9.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\ZLT06e58.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\ZLT034b4.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Temp\ZLT022af.TMP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 113519
Gefundene Viren: 33
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 355
Dauer des Scans bisher: 00:59:01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten eaktiviert

Batchstart: 22:07:12,45
Batchende: 22:07:40,53

Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKLM\Software\magnet HKCU\\magnet

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\F

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{94a816a0-00fa-11da-a517-806d6172696f}

Danach lasse cCleaner dein System bereinigen. Die Registry (blaues Bauklotz-Symbol links) musst du merhmals durchsuchen und bereinigen lassen bis nichts mehr gefunden wird.
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen.

Dann startest du den Rechner im normalen Modus neu.

JAAAAAAAAA DANKE MANN SPYWARE DOCTOR ZEIGT KEINEN BEFUND MEHR AN; ICH DENK MAL DAS WARS

DANKE MANN

immer gerne..

Die Systemwiederherstellung kannst du wieder aktivieren..