Hi,

ich hab ein dickes Problem. Mein bitdefender und alles andere was ich versucht habe zeigt mir den Virus "Trojan.vundo" an und ich bekomm ihn nicht weg. Ich habe wirklich viel versucht aber nichts hat funktioniert. Bitte helft mir, ich weiß nicht mehr weiter.

ogfile of HijackThis v1.99.1
Scan saved at 22:12:33, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\user\Desktop\hj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll
O2 - BHO: (no name) - {25BE2418-6C95-418F-BE03-0D9B9354A167} - C:\WINDOWS\system32\hggfghg.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: {9e696014-6ef6-ea89-e784-49337e45015b} - {b51054e7-3394-487e-98ae-6fe6410696e9} - C:\WINDOWS\system32\fnhennsk.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - (no file)
O2 - BHO: (no name) - {EA91B538-C2DD-4AAF-BE16-12E890BE2A71} - (no file)
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Programme\Helper\1201777506.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O3 - Toolbar: (no name) - {8113B5DE-F7EB-4154-A311-497FB80D8BD0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [84ee5696] rundll32.exe "C:\WINDOWS\system32\lynbpnxn.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.freeietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.freeietool.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161274455062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: hggfghg - C:\WINDOWS\SYSTEM32\hggfghg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


hoffe ich habe alles richtig gemacht und danke im voraus

Halli hallo.

Du saugst über Bearshare. Das ist in viellerlei Hinsicht ein ganz schlechte Idee.

a) ist es illegal.

b) ist Bearshare eindeutig ein Schadprogramm welches weitere Maleware auf den Rechner schaufelt

c) werden über P2P Netzwerke haufenweise Schädlinge verteilt indem sie in die Dateien die du dir runtersaugst impliziert werden.


1) Deinstalliere Bearshare über die Systemsteuerung. Lasse danach CCleaner laufen.

2) Vundofix:
Folge dieser Anleitung. Schritte 1 und 2 durchführen. (1.Suche - 2.Bereinigung) Wiederhole diese Schritte so oft bis nichts mehr gefunden wird!

Danach führe dises Tool im abgesicherten Modus aus.

Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:




-Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

-Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. -> Klicke auf Ja.
=> Das Update wird daraufhin ausgeführt.

-Im Hauptfenster des Programmes finden sich verschiedene Funktionen:



1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.



2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.





3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.



Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!



Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).





4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!


Als abschließende Überprüfung sollte ein Scan im agesicherten Modus erfolgen.
Öffne die Safe-Boot-Option von SUPERAntiSpyware indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.



Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.
Dazu musst du die Boot.ini ändern: "Start->ausführen->msconfig eintippen und Enter drücken.
Dort wählst du den Reiter Boot.ini aus und enfernst den Haken bei /SAFEBOOT.
Klicke dann auf Übernehmen und starte den Rechner durch Drücken des Jetzt neustarten...Buttons neu.

Poste bitte das VBG-Log, den SUPERAntiSpyware Bericht und ein frisches HijackThis logfile.

hi

danke für die schnelle hilfe.
habe jetz alle vorgänge durchgeführt,
hier mein hijack,superantispyware,ComboFix,VirtumundoBeGone ergebnisse:


-----
Logfile of HijackThis v1.99.1
Scan saved at 13:41, on 2008-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\user\Desktop\hj\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu7\toolbaru.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbSha0.dll
O3 - Toolbar: (no name) - {8113B5DE-F7EB-4154-A311-497FB80D8BD0} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161274455062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


der 1. durchlauf
--------SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/27/2008 at 10:31 PM

Application Version : 3.9.1008

Core Rules Database Version : 3410
Trace Rules Database Version: 1402

Scan type : Complete Scan
Total Scan Time : 01:21:55

Memory items scanned : 331
Memory threats detected : 0
Registry items scanned : 4741
Registry threats detected : 22
File items scanned : 51664
File threats detected : 9

Trojan.Smitfraud Variant/IE Anti-Spyware
HKLM\Software\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\user\Cookies\user@2o7[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@rambler[2].txt
C:\Dokumente und Einstellungen\user\Cookies\user@adserver.71i[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@atwola[1].txt
C:\Dokumente und Einstellungen\user\Cookies\user@doubleclick[2].txt

Trojan.Media-Codec/V4
HKCR\videoPl.chl
HKCR\videoPl.chl\CLSID

Malware.VirusProtect
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\gEqjlk
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\gfZpcd
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\Implemented Categories
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\Implemented Categories\{62C8FE65-4EBB-45E7-B440-6E39B2CDBF29}
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32#RuntimeVersion
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32#Assembly
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32#Class
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32#ThreadingModel
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32\2.0.0.0
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32\2.0.0.0#RuntimeVersion
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32\2.0.0.0#Assembly
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\InprocServer32\2.0.0.0#Class
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\NWkakmmrkqGwj
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\ogTUvWgx
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\ProgId
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\qjJOafciy
HKCR\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}\xSyu

Adware.180solutions/ZangoSearch
C:\PROGRAMME\MOZILLA FIREFOX\PLUGINS\NPCLNTAX_ZANGOSA.DLL

Adware.E404 Helper/Variant
C:\QOOBOX\QUARANTINE\C\PROGRAMME\HELPER\1201777506.DLL.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F8214995-76C5-4D28-92E0-1CC6921C40AB}\RP263\A0156839.DLL

Adware.Vundo-Variant/Small-A
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F8214995-76C5-4D28-92E0-1CC6921C40AB}\RP263\A0156842.DLL



----2. duchlauf
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/28/2008 at 08:47 AM

Application Version : 3.9.1008

Core Rules Database Version : 3410
Trace Rules Database Version: 1402

Scan type : Complete Scan
Total Scan Time : 01:37:41

Memory items scanned : 317
Memory threats detected : 0
Registry items scanned : 4739
Registry threats detected : 0
File items scanned : 105301
File threats detected : 1

Adware.180solutions/ZangoSearch
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F8214995-76C5-4D28-92E0-1CC6921C40AB}\RP264\A0156970.DLL




-----------
ComboFix 08-02-25.3 - user 2008-02-27 15:34:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.499 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\Neuer Ordner\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\user\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Programme\Helper
C:\Programme\Helper\1201777506.dll
C:\Programme\ShoppingReport
C:\Programme\ShoppingReport\Bin\2.0.22\ShoppingReport.dll
C:\Programme\ShoppingReport\Uninst.exe
C:\WINDOWS\system32\fnhennsk.dll
C:\WINDOWS\system32\jhyikamn.dll
C:\WINDOWS\system32\nxnpbnyl.ini
C:\WINDOWS\system32\skllmpom.ini
C:\WINDOWS\system32\ybadd.ini
C:\WINDOWS\system32\ybadd.ini2
C:\WINDOWS\system32\yfoamcwo.ini
C:\WINDOWS\system32\ynpfgkat.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-27 bis 2008-02-27 ))))))))))))))))))))))))))))))
.

2008-02-22 23:43 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-02-22 23:43 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-02-22 18:39 . 2008-02-22 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-22 18:20 . 2008-02-22 20:49 <DIR> d-------- C:\Programme\Enigma Software Group
2008-02-16 15:58 . 2008-02-25 20:58 <DIR> d-------- C:\Programme\Warcraft III
2008-02-15 08:55 . 2008-02-15 08:57 <DIR> d-------- C:\Programme\DivX
2008-02-14 21:01 . 2008-02-14 21:01 38,400 --a------ C:\WINDOWS\system32\hggfghg.dll
2008-02-08 13:52 . 2008-02-15 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-02-08 13:44 . 2008-02-08 13:44 <DIR> d-------- C:\Programme\EA GAMES
2008-01-31 19:22 . 2008-01-31 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 14:02 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\LimeWire
2008-02-22 15:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-22 15:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-08 23:48 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-31 19:14 --------- d--h--w C:\Programme\Give4Free Plugin
2008-01-31 11:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-31 11:20 --------- d-----w C:\Programme\Share_Accelerator_MM
2008-01-10 13:01 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\dvdcss
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25BE2418-6C95-418F-BE03-0D9B9354A167}]
2008-02-14 21:01 38400 --a------ C:\WINDOWS\system32\hggfghg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 14:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 14:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 14:49 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24 32768]
"BDSwitchAgent"="C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe" [2007-10-09 18:35 53248]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-10-18 02:04 1560576]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:06 3144800]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-01 17:55 180269]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 14:28 577536 C:\WINDOWS\soundman.exe]
"BDMCon"="c:\progra~1\softwin\bitdef~1\bdmcon.exe" [2007-10-09 18:35 229376]
"BDNewsAgent"="c:\progra~1\softwin\bitdef~1\bdnagent.exe" [2007-10-09 18:35 4608]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{25BE2418-6C95-418F-BE03-0D9B9354A167}"= C:\WINDOWS\system32\hggfghg.dll [2008-02-14 21:01 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hggfghg]
hggfghg.dll 2008-02-14 21:01 38400 C:\WINDOWS\system32\hggfghg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\asassin14\\counter-strike\\hl.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\chirs666666\\counter-strike\\hl.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\asassin14\\condition zero deleted scenes\\hl.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"D:\\World of Warcraft\\BackgroundDownloader.exe"=
"D:\\World of Warcraft\\WoW-2.0.12.6546-to-2.1.0.6692-deDE-downloader.exe"=
"C:\\Dokumente und Einstellungen\\user\\Desktop\\httpwww.darkwow.detext=mangos\\cstrike.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\Valve\\Steam\\Steam.exe"=
"D:\\games\\COD viktorious an 192.168.1.97\\CoDMP.exe"=
"D:\\games\\cses\\cs 2\\hl.exe"=
"D:\\games\\cses\\cs\\cstrike.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"D:\\games\\call of duty\\CoDMP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6881:TCP"= 6881:TCP:Blizzard Downloader: 6881
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 16:31]
R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender Professional Edition\filespy.sys [2007-10-09 18:35]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 02:04]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 19:36]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 15:38:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\sockspy.dll
-> C:\WINDOWS\system32\hggfghg.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\sockspy.dll

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\system32\sockspy.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-27 15:40:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-27 14:40:23
.
2008-02-13 15:04:31 --- E O F ---






--------
02/27/2008, 14:05:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 14:05:58] - User choose NOT to continue. Exiting...

[02/27/2008, 19:57:27] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 19:57:41] - Detected System Information:
[02/27/2008, 19:57:41] - Windows Version: 5.1.2600, Service Pack 2
[02/27/2008, 19:57:41] - Current Username: user (Admin)
[02/27/2008, 19:57:41] - Windows is in NORMAL mode.
[02/27/2008, 19:57:41] - Searching for Browser Helper Objects:
[02/27/2008, 19:57:41] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[02/27/2008, 19:57:41] - BHO 2: {4596013b-6c31-408b-a266-deae5c086dc2} (Share Accelerator MM Toolbar)
[02/27/2008, 19:57:41] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[02/27/2008, 19:57:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/27/2008, 19:57:41] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[02/27/2008, 19:57:41] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[02/27/2008, 19:57:41] - Finished Searching Browser Helper Objects
[02/27/2008, 19:57:41] - Finishing up...
[02/27/2008, 19:57:41] - Nothing found! Exiting...





----------

[02/27/2008, 14:05:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 14:05:58] - User choose NOT to continue. Exiting...

[02/27/2008, 19:57:27] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 19:57:41] - Detected System Information:
[02/27/2008, 19:57:41] - Windows Version: 5.1.2600, Service Pack 2
[02/27/2008, 19:57:41] - Current Username: user (Admin)
[02/27/2008, 19:57:41] - Windows is in NORMAL mode.
[02/27/2008, 19:57:41] - Searching for Browser Helper Objects:
[02/27/2008, 19:57:41] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[02/27/2008, 19:57:41] - BHO 2: {4596013b-6c31-408b-a266-deae5c086dc2} (Share Accelerator MM Toolbar)
[02/27/2008, 19:57:41] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[02/27/2008, 19:57:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/27/2008, 19:57:41] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[02/27/2008, 19:57:41] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[02/27/2008, 19:57:41] - Finished Searching Browser Helper Objects
[02/27/2008, 19:57:41] - Finishing up...
[02/27/2008, 19:57:41] - Nothing found! Exiting...

[02/27/2008, 19:58:15] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 19:58:24] - Detected System Information:
[02/27/2008, 19:58:24] - Windows Version: 5.1.2600, Service Pack 2
[02/27/2008, 19:58:24] - Current Username: user (Admin)
[02/27/2008, 19:58:24] - Windows is in NORMAL mode.
[02/27/2008, 19:58:24] - Searching for Browser Helper Objects:
[02/27/2008, 19:58:24] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[02/27/2008, 19:58:24] - BHO 2: {4596013b-6c31-408b-a266-deae5c086dc2} (Share Accelerator MM Toolbar)
[02/27/2008, 19:58:24] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[02/27/2008, 19:58:24] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/27/2008, 19:58:24] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[02/27/2008, 19:58:24] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[02/27/2008, 19:58:24] - Finished Searching Browser Helper Objects
[02/27/2008, 19:58:24] - Finishing up...
[02/27/2008, 19:58:24] - Nothing found! Exiting...

[02/27/2008, 20:29:13] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone(2).exe" )
[02/27/2008, 20:29:17] - User choose NOT to continue. Exiting...

[02/27/2008, 21:00:56] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 21:00:59] - Detected System Information:
[02/27/2008, 21:00:59] - Windows Version: 5.1.2600, Service Pack 2
[02/27/2008, 21:00:59] - Current Username: user (Admin)
[02/27/2008, 21:00:59] - Windows is in SAFE mode with Networking.
[02/27/2008, 21:00:59] - Searching for Browser Helper Objects:
[02/27/2008, 21:00:59] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[02/27/2008, 21:00:59] - BHO 2: {4596013b-6c31-408b-a266-deae5c086dc2} (Share Accelerator MM Toolbar)
[02/27/2008, 21:00:59] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[02/27/2008, 21:00:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/27/2008, 21:00:59] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[02/27/2008, 21:00:59] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[02/27/2008, 21:00:59] - Finished Searching Browser Helper Objects
[02/27/2008, 21:00:59] - Finishing up...
[02/27/2008, 21:00:59] - Nothing found! Exiting...

[02/27/2008, 21:02:45] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\user\Desktop\VirtumundoBeGone.exe" )
[02/27/2008, 21:02:47] - Detected System Information:
[02/27/2008, 21:02:47] - Windows Version: 5.1.2600, Service Pack 2
[02/27/2008, 21:02:47] - Current Username: user (Admin)
[02/27/2008, 21:02:47] - Windows is in SAFE mode with Networking.
[02/27/2008, 21:02:47] - Searching for Browser Helper Objects:
[02/27/2008, 21:02:47] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[02/27/2008, 21:02:47] - BHO 2: {4596013b-6c31-408b-a266-deae5c086dc2} (Share Accelerator MM Toolbar)
[02/27/2008, 21:02:47] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[02/27/2008, 21:02:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/27/2008, 21:02:47] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[02/27/2008, 21:02:47] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[02/27/2008, 21:02:47] - Finished Searching Browser Helper Objects
[02/27/2008, 21:02:47] - Finishing up...
[02/27/2008, 21:02:47] - Nothing found! Exiting...

Hast du die SUPERAntiSpyware Einträge schon entfernt?

Fixe mit HijackThis folgenden Eintrag:

Zitat:

O3 - Toolbar: (no name) - {8113B5DE-F7EB-4154-A311-497FB80D8BD0} - (no file)

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\system32\hggfghg.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Dann verwende Killbox

PS: Magst du uns bitte zur Analyse das errorlog.txt zukommen lassen.. Suche es am besten einfach über die Windows Such Funktion

also wenn ichs mit avenger versuche steht dort: Error: selected file does not appear to be vaild valid script

und bei killbox steht dann: PendingFileRenameOperations registry data has been removed by external process!



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Wechsel bitte vorher in den abgesicherten Modus und probiere es von dort aus mit Killbox. Ohne die Optin "delete on reboot" !

so,nachdem ich dem pc im abgesciherten modus gestartet habe,hat killbox funktioniert.
Hier noch die durch die online überprüfung erhaltene daten:


Datei _isusres.dll empfangen 2008.02.28 17:57:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 52 und 75 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.28.2 2008.02.28 -
AntiVir 7.6.0.67 2008.02.28 -
Authentium 4.93.8 2008.02.28 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.28 -
BitDefender 7.2 2008.02.28 -
CAT-QuickHeal 9.50 2008.02.28 -
ClamAV 0.92.1 2008.02.28 -
DrWeb 4.44.0.09170 2008.02.28 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5571 2008.02.28 -
Ewido 4.0 2008.02.28 -
FileAdvisor 1 2008.02.28 -
Fortinet 3.14.0.0 2008.02.28 -
F-Prot 4.4.2.54 2008.02.27 -
F-Secure 6.70.13260.0 2008.02.28 -
Ikarus T3.1.1.20 2008.02.28 -
Kaspersky 7.0.0.125 2008.02.28 -
McAfee 5240 2008.02.28 -
Microsoft 1.3301 2008.02.28 -
NOD32v2 2909 2008.02.28 -
Norman 5.80.02 2008.02.28 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.28 -
Rising 20.33.32.00 2008.02.28 -
Sophos 4.27.0 2008.02.28 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.02.28 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.28 -
Webwasher-Gateway 6.6.2 2008.02.28 -
weitere Informationen
File size: 368640 bytes
MD5: e5f7078ecb5347e60f25415be05438d0
SHA1: 62ac5417aafd87adc1b897e87d14458bd934dfad
PEiD: -


-----------------------
Datei agent.exe empfangen 2008.02.28 18:03:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 56 und 80 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.28.2 2008.02.28 -
AntiVir 7.6.0.67 2008.02.28 -
Authentium 4.93.8 2008.02.28 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.28 -
BitDefender 7.2 2008.02.28 -
CAT-QuickHeal 9.50 2008.02.28 -
ClamAV 0.92.1 2008.02.28 -
DrWeb 4.44.0.09170 2008.02.28 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5571 2008.02.28 -
Ewido 4.0 2008.02.28 -
FileAdvisor 1 2008.02.28 -
Fortinet 3.14.0.0 2008.02.28 -
F-Prot 4.4.2.54 2008.02.27 -
F-Secure 6.70.13260.0 2008.02.28 -
Ikarus T3.1.1.20 2008.02.28 -
Kaspersky 7.0.0.125 2008.02.28 -
McAfee 5241 2008.02.28 -
Microsoft 1.3301 2008.02.28 -
NOD32v2 2909 2008.02.28 -
Norman 5.80.02 2008.02.28 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.28 -
Rising 20.33.32.00 2008.02.28 -
Sophos 4.27.0 2008.02.28 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.02.28 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.28 -
Webwasher-Gateway 6.6.2 2008.02.28 -
weitere Informationen
File size: 618496 bytes
MD5: a325c1dde8913d168905408e89c0be08
SHA1: 268d56ea9416bcea2f3ede87dc5bd3d0d8169b7d
PEiD: Armadillo v1.71




----------------------
Datei ISDM.exe empfangen 2008.02.28 18:04:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 56 und 80 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.28.2 2008.02.28 -
AntiVir 7.6.0.67 2008.02.28 -
Authentium 4.93.8 2008.02.28 -
Avast 4.7.1098.0 2008.02.27 -
AVG 7.5.0.516 2008.02.28 -
BitDefender 7.2 2008.02.28 -
CAT-QuickHeal 9.50 2008.02.28 -
ClamAV 0.92.1 2008.02.28 -
DrWeb 4.44.0.09170 2008.02.28 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5571 2008.02.28 -
Ewido 4.0 2008.02.28 -
FileAdvisor 1 2008.02.28 -
Fortinet 3.14.0.0 2008.02.28 -
F-Prot 4.4.2.54 2008.02.27 -
F-Secure 6.70.13260.0 2008.02.28 -
Ikarus T3.1.1.20 2008.02.28 -
Kaspersky 7.0.0.125 2008.02.28 -
McAfee 5241 2008.02.28 -
Microsoft 1.3301 2008.02.28 -
NOD32v2 2909 2008.02.28 -
Norman 5.80.02 2008.02.28 -
Panda 9.0.0.4 2008.02.27 -
Prevx1 V2 2008.02.28 -
Rising 20.33.32.00 2008.02.28 -
Sophos 4.27.0 2008.02.28 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.02.28 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.28 -
Webwasher-Gateway 6.6.2 2008.02.28 -
weitere Informationen
File size: 278528 bytes
MD5: e52ac70fb0da0dc2f4027bda3b2d6597
SHA1: 65f054afa0045064ce6c5b9229e40eafcd51266b
PEiD: Armadillo v1.71




-----------------------
Datei issch.exe empfangen 2008.02.15 21:32:31 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.14 -
AVG 7.5.0.516 2008.02.15 -
BitDefender 7.2 2008.02.15 -
CAT-QuickHeal None 2008.02.15 -
ClamAV 0.92.1 2008.02.15 -
DrWeb 4.44.0.09170 2008.02.15 -
eSafe 7.0.15.0 2008.02.14 -
eTrust-Vet 31.3.5539 2008.02.15 -
Ewido 4.0 2008.02.15 -
FileAdvisor 1 2008.02.15 -
Fortinet 3.14.0.0 2008.02.15 -
F-Prot 4.4.2.54 2008.02.14 -
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.15 -
Kaspersky 7.0.0.125 2008.02.15 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.14 -
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.15 -
Prevx1 V2 2008.02.15 -
Rising 20.31.30.00 2008.02.14 -
Sophos 4.26.0 2008.02.15 -
Sunbelt 2.2.907.0 2008.02.14 -
Symantec 10 2008.02.15 -
TheHacker 6.2.9.221 2008.02.15 -
VBA32 3.12.6.1 2008.02.14 -
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 -
weitere Informationen
File size: 81920 bytes
MD5: 7d58c9bdf9c0a3955bdcde7387ad12ac
SHA1: 8c9e5de7a3353512ac842114b877067280ac7e5a
PEiD: Armadillo v1.71

sollte ich die Systemwiederherstellung nun wieder aktivieren ?

Räume bitte noch mit CCleaner auf.

Danach starte den Rechner neu und aktiviere die Systemwiederherstellung wieder..

Zitat:

Zitat von undoreal

Halli hallo.

Du saugst über Bearshare. Das ist in viellerlei Hinsicht ein ganz schlechte Idee.

a) ist es illegal.

b) ist Bearshare eindeutig ein Schadprogramm welches weitere Maleware auf den Rechner schaufelt

c) werden über P2P Netzwerke haufenweise Schädlinge verteilt indem sie in die Dateien die du dir runtersaugst impliziert werden.


1) Deinstalliere Bearshare über die Systemsteuerung. Lasse danach CCleaner laufen.

2) Vundofix:
Folge dieser Anleitung. Schritte 1 und 2 durchführen. (1.Suche - 2.Bereinigung) Wiederhole diese Schritte so oft bis nichts mehr gefunden wird!

Danach führe dises Tool im abgesicherten Modus aus.

Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:




-Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

-Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. -> Klicke auf Ja.
=> Das Update wird daraufhin ausgeführt.

-Im Hauptfenster des Programmes finden sich verschiedene Funktionen:



1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.



2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.





3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.



Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!



Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).





4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!


Als abschließende Überprüfung sollte ein Scan im agesicherten Modus erfolgen.
Öffne die Safe-Boot-Option von SUPERAntiSpyware indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.



Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.
Dazu musst du die Boot.ini ändern: "Start->ausführen->msconfig eintippen und Enter drücken.
Dort wählst du den Reiter Boot.ini aus und enfernst den Haken bei /SAFEBOOT.
Klicke dann auf Übernehmen und starte den Rechner durch Drücken des Jetzt neustarten...Buttons neu.

Poste bitte das VBG-Log, den SUPERAntiSpyware Bericht und ein frisches HijackThis logfile.

ok habe ich gemacht.Muss ich sonnst noch was machen ?

ok habe ich gemacht.MUss ich sonnst noch was machen

Wenn du keine Probleme mehr hast dann bist du entlassen..

juhuu

vielen dank für die schnellen und gut erklärten antworten,hatte echt gedacht ich bin verloren

mfg bitdefender </3