TR/Vundo.Gen: Ich bekomme ihn nicht weg, bitte um Hilfe.

KRABOS · 11.04.2008, 16:36

Hallo zusammen.

Hab mir vor kurzem diesen läsigen Trojaner gefangen und bekommen ihn einfach nicht weg. Antivir erkennt ihn, kann ich aber auch nicht entfernen. Habs auch schon mit Vundo.Fix probiert, auch nichts möglich. Ist ungefähr ne Woche her seit er drauf ist, meldet sich immer wieder, wenn ich eine Anwendung oder Ordner öffne. Bitte um Hilfe.

Name der Datei, in der der Trojaner sitzt:

iifcbbcb.dll( im windowsordner-system32)

Hier der HJT-Log

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

KRABOS · 11.04.2008, 19:35

Vielen Dank für den Hinweis, hab es nochmal bearbeite und hoffe mal, nichts übersehen zu haben

Logfile of HijackThis v1.99.1
Scan saved at 17:27:27, on 11.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\wpabaln.exe
C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10} - C:\WINDOWS\System32\iifcbbcb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{055A92B8-BF49-4949-8303-043885286FB3}: NameServer = 217.237.150.51 217.237.148.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{055A92B8-BF49-4949-8303-043885286FB3}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: iifcbbcb - C:\WINDOWS\SYSTEM32\iifcbbcb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

Kann mir jemand helfen bitte?

nochdigger · 11.04.2008, 19:55

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an

Zitat:

O2 - BHO: (no name) - {9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10} - C:\WINDOWS\System32\iifcbbcb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: iifcbbcb - C:\WINDOWS\SYSTEM32\iifcbbcb.dll

klicke nun auf - fix checked - und beende Hijackthis.

Lade dir bitte von hier -->Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Dann lade dir Combofix runter
ComboFix

-Deaktiviere für die dauer des scans den Hintergrundwächter deines Antivirenprogrammes
-Lade dir das Tool hier herunter -> KLICK
-Beende alle anderen Programme
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
-Mache während des Durchlaufs nichts am Rechner
-Kopiere nach dem Durchlauf bitte den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

KRABOS · 12.04.2008, 01:54

Habe nun alle Schritte befolgt, Antivir meldet nichts mehr, vielen Dank für die Hilfe.

Hier der Log.txt

ComboFix 08-04-11.5 - *** 2008-04-12 2:38:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1633 [GMT -7:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\iifcbbcb.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-12 bis 2008-04-12 ))))))))))))))))))))))))))))))
.

2008-04-11 18:40 . 2006-10-04 07:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-04-11 18:40 . 2006-10-04 07:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb
2008-04-11 18:40 . 2006-10-04 07:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb
2008-04-11 18:39 . 2008-04-11 18:39 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-04-11 18:37 . 2008-04-11 18:38 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-04-11 18:23 . 2008-04-11 18:23 2,422 --a------ C:\WINDOWS\system32\wpa.bak
2008-04-11 18:04 . 2008-04-11 18:05 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-11 18:04 . 2008-04-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-04-11 17:54 . 2008-04-12 02:41 376,864 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-11 17:54 . 2008-04-12 02:40 6,440 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-11 17:51 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-04-11 17:51 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2008-04-11 17:51 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2008-04-11 17:51 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-04-11 17:51 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-04-11 17:50 . 2008-04-11 17:50 <DIR> d-------- C:\Programme\Zone Labs
2008-04-08 23:37 . 2008-04-11 18:40 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-07 18:11 . 2008-04-07 18:11 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-04-04 00:51 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-04-04 00:12 . 2008-04-04 00:12 <DIR> d-------- C:\Programme\Eidos
2008-04-01 17:52 . 2008-04-01 17:52 <DIR> d-------- C:\Programme\Midway Games
2008-04-01 17:52 . 2008-04-01 17:52 <DIR> d-------- C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Anwendungsdaten\InstallShield
2008-04-01 02:49 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-04-01 02:49 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-04-01 02:49 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-04-01 02:49 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-03-30 01:15 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-03-29 05:14 . 2007-07-09 06:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-03-28 18:02 . 2008-04-08 23:38 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-28 18:02 . 2006-12-26 06:09 536,576 -----c--- C:\WINDOWS\system32\dllcache\msado15.dll
2008-03-28 18:02 . 2006-12-26 06:09 200,704 -----c--- C:\WINDOWS\system32\dllcache\msadox.dll
2008-03-28 18:02 . 2006-12-26 06:09 180,224 -----c--- C:\WINDOWS\system32\dllcache\msadomd.dll
2008-03-28 18:02 . 2006-12-26 06:09 102,400 -----c--- C:\WINDOWS\system32\dllcache\msjro.dll
2008-03-28 18:02 . 2006-03-16 17:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-03-28 04:17 . 2008-03-28 04:17 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-03-28 04:15 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-03-28 04:15 . 2004-07-17 12:40 19,528 --a------ C:\WINDOWS\002216_.tmp
2008-03-28 04:14 . 2008-03-28 04:14 <DIR> d-------- C:\WINDOWS\EHome
2008-03-28 03:55 . 2008-03-28 03:55 <DIR> d-------- C:\Programme\Yahoo!
2008-03-28 03:55 . 2008-03-28 03:55 <DIR> d-------- C:\Programme\CCleaner
2008-03-28 03:24 . 2008-04-11 17:51 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-03-28 03:24 . 2008-03-28 03:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MailFrontier
2008-03-28 03:24 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-03-28 03:24 . 2008-04-11 17:52 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-03-28 03:23 . 2008-04-12 02:28 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-03-27 21:23 . 2008-03-27 21:23 0 -ra------ C:\WINDOWS\system32\TFTP2532
2008-03-27 21:18 . 2008-03-27 21:18 <DIR> dr-h----- C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Anwendungsdaten\SecuROM
2008-03-27 21:18 . 2008-03-27 21:18 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-03-27 21:16 . 2008-03-27 21:16 22,328 --a------ C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Anwendungsdaten\PnkBstrK.sys
2008-03-27 21:05 . 2008-03-27 21:05 <DIR> d-------- C:\Programme\Electronic Arts
2008-03-27 20:55 . 2008-03-27 20:55 <DIR> d--h-c--- C:\WINDOWS\$MSI30UninstallMSI30-KB884016$
2008-03-27 16:25 . 2005-09-20 18:27 10,368 --------- C:\WINDOWS\system32\drivers\iviaspi.sys
2008-03-27 16:24 . 2008-03-27 16:24 <DIR> d-------- C:\Programme\Sandisk
2008-03-27 16:24 . 2008-03-27 16:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\InstallShield
2008-03-27 16:24 . 2005-09-20 18:27 10,368 --a------ C:\WINDOWS\system32\iviaspi.sys
2008-03-27 16:22 . 2008-03-27 16:22 <DIR> d-------- C:\WUTemp
2008-03-27 16:22 . 2004-08-04 01:57 192,000 --a------ C:\WINDOWS\system32\iuengine.dll
2008-03-27 16:05 . 2008-04-11 21:43 1,080 --a------ C:\WINDOWS\system32\settingsbkup.sfm
2008-03-27 16:05 . 2008-04-11 21:43 1,080 --a------ C:\WINDOWS\system32\settings.sfm
2008-03-27 15:48 . 2008-03-27 15:48 <DIR> d-------- C:\Programme\Creative
2008-03-27 15:48 . 2008-03-27 15:48 413,696 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-03-27 15:48 . 2008-03-27 15:48 110,592 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-03-27 15:47 . 2008-03-27 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Creative
2008-03-27 15:47 . 2004-08-04 00:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-03-27 15:47 . 2007-02-26 16:24 94,208 --a------ C:\WINDOWS\system32\cttele32.dll
2008-03-27 15:47 . 2004-08-04 00:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-03-27 15:47 . 2008-04-12 02:40 54,928 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000004-00000000-00000008-00001102-00000005-00281102}.rfx
2008-03-27 15:47 . 2008-04-12 02:40 54,928 --a------ C:\WINDOWS\system32\BMXState-{00000004-00000000-00000008-00001102-00000005-00281102}.rfx
2008-03-27 15:47 . 2008-04-12 02:40 788 --a------ C:\WINDOWS\system32\DVCState-{00000004-00000000-00000008-00001102-00000005-00281102}.rfx
2008-03-27 06:10 . 2008-03-27 06:10 <DIR> d-------- C:\Programme\MobMapUpdater
2008-03-27 05:20 . 2008-03-27 05:20 <DIR> d-------- C:\Logs
2008-03-27 05:00 . 2008-03-27 05:00 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-03-27 05:00 . 2008-03-31 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Anwendungsdaten\teamspeak2
2008-03-27 05:00 . 2008-03-27 05:00 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-03-27 04:59 . 2008-03-27 04:59 <DIR> d-------- C:\Programme\DivX
2008-03-27 04:45 . 2008-03-27 04:46 <DIR> d-------- C:\Programme\BearShare
2008-03-27 04:45 . 2008-04-11 19:16 <DIR> d-------- C:\My Downloads
2008-03-26 21:15 . 2006-06-14 01:47 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2008-03-26 21:15 . 2006-02-14 17:22 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2008-03-26 21:15 . 2006-06-14 02:00 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-26 21:15 . 2004-08-04 00:15 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2008-03-26 21:15 . 2001-08-17 15:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2008-03-26 21:15 . 2001-08-17 15:00 54,272 --a--c--- C:\WINDOWS\system32\dllcache\swmidi.sys
2008-03-26 21:15 . 2004-08-04 00:07 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2008-03-26 21:15 . 2006-06-14 01:47 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-26 21:15 . 2004-08-04 00:07 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2008-03-26 21:14 . 2008-03-26 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\***.YOUR-LK4RLMSU41\Anwendungsdaten\Creative
2008-03-26 21:14 . 2004-08-04 01:58 23,552 --a------ C:\WINDOWS\system32\wdmaud.drv
2008-03-26 21:13 . 2008-03-27 15:47 <DIR> d-------- C:\WINDOWS\system32\Data
2008-03-26 21:13 . 2004-07-30 15:46 20,480 --a------ C:\WINDOWS\INRESGER.DLL
2008-03-26 21:13 . 2006-06-09 16:20 3,072 --a------ C:\WINDOWS\CTXFIGER.DLL
2008-03-26 20:32 . 2008-04-02 04:58 <DIR> d-------- C:\Programme\World of Warcraft
2008-03-26 20:32 . 2008-03-26 20:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-26 19:53 . 2008-03-26 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-03-26 16:32 . 2008-03-26 16:32 <DIR> d-------- C:\Programme\FIC
2008-03-26 16:18 . 2008-03-26 16:27 <DIR> d-------- C:\Dokumente und Einstellungen\Kamal\Anwendungsdaten\T-Online
2008-03-26 16:17 . 2008-03-26 16:17 <DIR> d-------- C:\Programme\T-Online
2008-03-26 16:17 . 2008-04-04 00:12 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-26 16:17 . 2008-03-27 16:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-26 16:15 . 2008-03-26 16:15 <DIR> d-------- C:\Online Dokumentation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 04:16 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-26 17:47 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\nView_Profiles
2008-03-26 17:32 --------- d-----w C:\Dokumente und Einstellungen\Kamal.YOUR-LK4RLMSU41\Anwendungsdaten\T-Online
2008-03-26 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
2008-02-25 17:45 189,464 ----a-w C:\WINDOWS\system32\drivers\haP17v2k.sys
2008-02-25 17:45 15,896 ----a-w C:\WINDOWS\system32\drivers\pfmodnt.sys
2008-02-25 17:44 92,696 ----a-w C:\WINDOWS\system32\drivers\emupia2k.sys
2008-02-25 17:44 797,720 ----a-w C:\WINDOWS\system32\drivers\ha10kx2k.sys
2008-02-25 17:44 162,840 ----a-w C:\WINDOWS\system32\drivers\haP16v2k.sys
2008-02-25 17:44 157,208 ----a-w C:\WINDOWS\system32\drivers\ctsfm2k.sys
2008-02-25 17:44 14,360 ----a-w C:\WINDOWS\system32\drivers\ctprxy2k.sys
2008-02-25 17:44 1,172,504 ----a-w C:\WINDOWS\system32\drivers\ha20x2k.sys
2008-02-25 17:43 524,312 ----a-w C:\WINDOWS\system32\drivers\ctaud2k.sys
2008-02-25 17:43 511,000 ----a-w C:\WINDOWS\system32\drivers\ctac32k.sys
2008-02-25 17:43 346,856 ----a-w C:\WINDOWS\system32\drivers\ctdvda2k.sys
2008-02-25 17:43 18,840 ----a-w C:\WINDOWS\system32\drivers\CTGAME.SYS
2008-02-25 17:43 127,000 ----a-w C:\WINDOWS\system32\drivers\ctoss2k.sys
2008-02-25 17:43 1,372,568 ----a-w C:\WINDOWS\system32\drivers\CTMMFILT.SYS
2008-02-25 17:43 1,366,424 ----a-w C:\WINDOWS\system32\drivers\CT0531FL.SYS
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 02:41 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 08:13 249896]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 15:32 278528]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [2006-07-26 14:48 3305472]
"CTHelper"="CTHELPER.EXE" [2008-02-20 21:58 19456 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2008-02-20 21:58 19968 C:\WINDOWS\system32\Ctxfihlp.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifcbbcb]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^ WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\ WinCinema Manager.lnk
backup=C:\WINDOWS\pss\ WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 09:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Midway Games\\Stranglehold\\Binaries\\Retail-Stranglehold.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 14:04]
R2 CTAudSvcService;Creative Audio Service;C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-03-07 20:24]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 23:31]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2008-02-25 10:44]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w**.gmer.net
Rootkit scan 2008-04-12 02:42:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CTxfispi.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-12 2:43:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-12 09:43:07
16 Verzeichnis(se), 86,601,830,400 Bytes frei
22 Verzeichnis(se), 86,962,438,144 Bytes frei
.
2008-04-09 06:38:49 --- E O F ---

nochdigger · 12.04.2008, 16:51

Hallo

lass bitte diese Dateien

Zitat:

C:\WINDOWS\002216_.tmp
C:\WINDOWS\system32\TFTP2532

hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

TR/Vundo.Gen: Ich bekomme ihn nicht weg, bitte um Hilfe.

Log-Analyse und Auswertung: TR/Vundo.Gen: Ich bekomme ihn nicht weg, bitte um Hilfe.