Hallo ihr Lieben,
ich habe seit Tagen das Problem, dass ich diesen Trojaner Vundo.Gen in mein System23-ordner habe.

AntiVir spuckt mir diese Meldung aus.
Jede 2 Sekunden öffnet sich AntivVir. Ich habe bis jetz herausgefunden, dass, wenn ich auf Löschen gehe Die Taskleiste + Desktopverknüpfungen weg sind und auch keine Tastenkombinationen mehr möglich sind!
Ich gehe deshalb immer auf "quarantäne verschieben" damit ich bis zur nächsten Meldung (ca. 1-5sec9 arbeiten kann.

Habe versucht es mit VundoFix zu scannen, es wird gefunden kann jedoch nicht gelöscht werden.

Bis jetz gemacht:

1. mit CCleaner die temporären Dateien Beseitigt.
2. Cobofix installiert + angewand.

Hier meine Logfiles aus HiJackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:39, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Barnikol\Desktop\ccsetup206\CCleaner.exe
C:\Dokumente und Einstellungen\Barnikol\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O2 - BHO: (no name) - {553AB51B-21EC-4DBA-958E-F008F482B613} - C:\WINDOWS\system32\nnnkIcaX.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: omlbpkaw - {DE647304-5B20-4633-AD67-66C3A440EB36} - C:\WINDOWS\omlbpkaw.dll (file missing)
O21 - SSODL: pmsoarbf - {12EC47E6-DAAC-435E-B6F6-5063DFF85490} - C:\WINDOWS\pmsoarbf.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

Fals ihr noch Infos braucht, sagt bescheid!

Ich bin am verzweifeln. Bitte helft mir!

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

ComboFix 08-04-16.5 - Barnikol 2008-04-17 14:45:07.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.141 [GMT -7:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Barnikol\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\nnnmmnNh.dll
C:\WINDOWS\system32\XacIknnn.ini
C:\WINDOWS\system32\XacIknnn.ini2
C:\WINDOWS\winhelp.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-17 bis 2008-04-17 ))))))))))))))))))))))))))))))
.

2008-04-17 10:39 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-17 10:39 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-17 10:39 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-17 10:39 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-17 10:39 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-17 10:39 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-17 08:14 . 2005-12-21 13:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-17 08:14 . 2005-12-21 04:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-17 08:14 . 2008-04-17 08:14 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-17 06:43 . 2008-04-17 06:43 <DIR> d-------- C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\TmpRecentIcons
2008-04-17 04:53 . 2008-04-17 04:53 <DIR> d---s---- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-17 04:53 . 2008-04-17 04:53 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\ICQ Toolbar
2008-04-17 04:42 . 2008-04-17 04:42 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-17 04:35 . 2008-04-17 04:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\PC Suite
2008-04-17 03:51 . 2008-04-17 03:51 273,408 --------- C:\WINDOWS\system32\nnnkIcaX.dll
2008-04-17 03:51 . 2008-04-17 03:51 12 --a------ C:\WINDOWS\system32\7098d02f
2008-04-17 03:45 . 2008-04-16 01:07 98,304 --a------ C:\WINDOWS\rtqmekwg.exe
2008-04-17 03:45 . 2008-04-16 01:07 98,304 --a------ C:\WINDOWS\npqtsrak.exe
2008-04-12 20:17 . 2008-04-14 19:45 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-12 20:17 . 2008-04-12 20:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-08 20:24 . 2008-04-08 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\TheScruffs
2008-04-01 17:12 . 2008-04-01 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\FUJIFILM
2008-04-01 17:06 . 2008-04-01 17:06 <DIR> d-------- C:\MWASPI
2008-04-01 17:06 . 1997-06-11 19:01 30,208 --------- C:\WINDOWS\system32\WNASPI32.DLL
2008-04-01 17:06 . 2000-03-29 17:11 8,096 --------- C:\WINDOWS\system32\drivers\MASPINT.SYS
2008-04-01 17:06 . 1999-10-22 17:58 4,030 --------- C:\WINDOWS\system\WINASPI.DLL
2008-04-01 17:06 . 1997-02-28 03:00 2,486 --------- C:\WINDOWS\system\AS16POST.BIN
2008-04-01 17:06 . 2008-04-01 17:06 291 --a------ C:\WINDOWS\msfsetup.ini
2008-04-01 17:02 . 2008-04-01 17:02 <DIR> d-------- C:\Programme\PIXELA
2008-04-01 16:59 . 2008-04-01 17:00 <DIR> d-------- C:\Programme\FinePixViewer
2008-04-01 16:57 . 2008-04-01 16:57 <DIR> d-------- C:\Programme\REGSHAVE
2008-04-01 16:57 . 2001-11-25 04:11 81,924 --------- C:\WINDOWS\system32\drivers\VC4CB104.SYS
2008-04-01 16:57 . 2002-02-27 04:27 65,536 --------- C:\WINDOWS\system32\FINFCHECK.dll
2008-04-01 16:57 . 2002-06-25 10:06 45,056 --------- C:\WINDOWS\system32\FINFCOPY.dll
2008-04-01 16:56 . 2002-02-05 09:33 69,632 --------- C:\WINDOWS\system32\FREGSHEX.DLL
2008-04-01 16:56 . 2002-02-13 03:00 45,056 --------- C:\WINDOWS\system32\FCLKBTN.DLL
2008-03-30 11:10 . 2008-03-12 16:54 241,664 --a------ C:\Programme\Uninstall Ask Toolbar.dll
2008-03-27 22:46 . 2008-03-27 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\ICQ Toolbar
2008-03-23 20:03 . 2008-03-23 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Awem
2008-03-23 19:29 . 2008-03-29 12:25 <DIR> d-------- C:\Programme\VstPlugins

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 05:34 --------- d-s---w C:\Programme\Azureus
2008-04-15 05:34 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\Azureus
2008-04-15 03:05 --------- d-s---w C:\Programme\eMule.de
2008-04-09 03:23 --------- d-----w C:\Programme\Zylom Games
2008-04-02 00:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-01 03:46 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\Zylom
2008-04-01 03:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-03-30 18:10 --------- d-----w C:\Programme\XMedia Recode
2008-03-30 18:08 --------- d-----w C:\Programme\The Weather Channel FW
2008-03-30 18:07 --------- d-----w C:\Programme\Trillian
2008-03-29 19:45 --------- d-----w C:\Programme\FileZilla Client
2008-03-29 19:35 --------- d-----w C:\Programme\Call of Duty
2008-03-29 19:29 --------- d--h--w C:\Programme\Image-Line
2008-03-28 05:46 --------- d-----w C:\Programme\ICQToolbar
2008-03-25 20:04 --------- d-----w C:\Programme\ICQLite
2008-03-24 04:43 --------- d-----w C:\Programme\Steam
2008-03-16 14:19 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-12 23:54 --------- d-----w C:\Programme\AskPBar
2008-03-09 21:23 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\gemsweeperextractedgfx
2008-03-09 20:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Meine Spiele
2008-03-09 02:31 --------- d-----w C:\Programme\Veoh Networks
2008-03-03 03:37 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\ICQ
2008-03-02 23:23 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\gtk-2.0
2008-03-01 22:52 --------- d-s---w C:\Programme\Foto_Clinic_5
2008-02-29 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-28 19:05 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-28 19:04 --------- d-----w C:\Programme\DVDVideoSoft
2008-02-22 20:34 --------- d-----w C:\Dokumente und Einstellungen\Barnikol\Anwendungsdaten\WinPatrol
2008-02-22 20:33 --------- d-----w C:\Programme\BillP Studios
2008-02-22 19:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-02-22 17:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-22 17:18 --------- d-----w C:\Programme\Ad-Aware 2007
2008-02-22 17:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2004-08-04 07:57 93,184 -csha-w C:\WINDOWS\ServicePackFiles\i386\iexplore.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{553AB51B-21EC-4DBA-958E-F008F482B613}]
2008-04-17 03:51 273408 --------- C:\WINDOWS\system32\nnnkIcaX.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-02-22 22:42 3537968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 12:09 63712]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-22 22:28 185632]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"omlbpkaw"= {DE647304-5B20-4633-AD67-66C3A440EB36} - C:\WINDOWS\omlbpkaw.dll [ ]
"pmsoarbf"= {12EC47E6-DAAC-435E-B6F6-5063DFF85490} - C:\WINDOWS\pmsoarbf.dll [ ]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\eMule.de\\emule.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-05 12:20]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-05 12:20]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-08-28 17:40]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2005-12-29 19:30]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 AVMUNET;Eumex 300 IP;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-03-16 17:13]
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-11-12 21:41]
S3 DIGIRPS;Digi PortServer-Treiber;C:\WINDOWS\system32\DRIVERS\digirlpt.sys [2001-08-18 04:26]
S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 14:53]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 16:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 16:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 16:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 16:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 16:54]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da1ef452-7263-11da-b66d-fc0ad52c4156}]
\Shell\AutoRun\command - G:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-04-12 00:23:49 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-17 14:55:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\0.log 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-17 15:04:56 - machine was rebooted [Barnikol]
ComboFix-quarantined-files.txt 2008-04-17 22:04:50

10 Verzeichnis(se), 22,161,915,904 Bytes frei
17 Verzeichnis(se), 22,096,392,192 Bytes frei
.
2008-04-12 21:16:40 --- E O F ---




-----------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:10:30, on 17.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Barnikol\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O2 - BHO: (no name) - {553AB51B-21EC-4DBA-958E-F008F482B613} - C:\WINDOWS\system32\nnnkIcaX.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu11\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.05\MediaManager\grab.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: omlbpkaw - {DE647304-5B20-4633-AD67-66C3A440EB36} - C:\WINDOWS\omlbpkaw.dll (file missing)
O21 - SSODL: pmsoarbf - {12EC47E6-DAAC-435E-B6F6-5063DFF85490} - C:\WINDOWS\pmsoarbf.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

BITTESCHÖN!

ps AntiVir.Guard konnte ich beim Ausführen von Combofix nicht schließen! Solbald ich Antivir schließe sind die Desktopverknüpfungen weg und nix geht mehr. Somit kann ich Cobofix nicht Ausführen!

Verabschiede Dich von Anwendungen wie Azureus und eMule, sonst bist Du schneller wieder hier, als uns lieb ist.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\WINDOWS\system32\nnnkIcaX.dll
C:\WINDOWS\system32\7098d02f
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\npqtsrak.exe
C:\Programme\Uninstall Ask Toolbar.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\0.log

Folder::
C:\Programme\AskPBar

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{553AB51B-21EC-4DBA-958E-F008F482B613}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"omlbpkaw"=- 
"pmsoarbf"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann