TR/Vundo.Gen

Ledgy · 23.04.2008, 17:43

hallo,
hab ein problem mit vundo.gen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:20, on 23.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
D:\Grafik\adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Eraser\Eraser.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\hjt.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w**.ge*a.de/me**a/de/mitglieder_formulare/ge**erbindung.pdf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5A74888B-6996-4A75-B422-9A62573F544F} - C:\WINDOWS\system32\byXNgheB.dll (file missing)
O2 - BHO: (no name) - {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} - C:\WINDOWS\system32\nnnKbXQh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {9CFDE960-4722-42CF-82FD-4FE58AB0641E} - C:\WINDOWS\system32\qoMcbaba.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "D:\Grafik\adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Grafik\adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MBpatch] C:\program files\Creative\MBsetup\RemoveKey.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [BMf38ef787] Rundll32.exe "C:\WINDOWS\system32\pbsdniqe.dll",s
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [DLD.EXE] C:\Programme\Download Direct\DLD.exe
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Grafik\adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80F06388-2F92-4045-9587-7B8AAF3E550A}: NameServer = 195.50.140.114,195.50.140.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{928F29A6-3B1C-46C4-B4F6-1973D4063C60}: NameServer = 195.50.140.114,195.50.140.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Grafik\adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: MPPNFR - Sysinternals - w**.sys***rnals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MPPNFR.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

--
End of file - 10393 bytes

Sabina · 23.04.2008, 18:13

Hallo, mit Doppeltpostings stiftest du nur Verwirrung..und niemandem ist damit geholfen

http://www.trojaner-board.de/51782-tr-vundo-gen.html

nun, in welchem Thread arbeiten wir weiter ????

------------

««
deaktiviere kurzzeitig den Spybot - Search & Destroy\TeaTimer.exe

««
wende CCleaner an
CCleaner

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat:

O2 - BHO: (no name) - {5A74888B-6996-4A75-B422-9A62573F544F} - C:\WINDOWS\system32\byXNgheB.dll (file missing)

O2 - BHO: (no name) - {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} - C:\WINDOWS\system32\nnnKbXQh.dll

O2 - BHO: (no name) - {9CFDE960-4722-42CF-82FD-4FE58AB0641E} - C:\WINDOWS\system32\qoMcbaba.dll (file missing)

O4 - HKLM\..\Run: [BMf38ef787] Rundll32.exe "C:\WINDOWS\system32\pbsdniqe.dll",s

««
scanne mit malwarebytes, lasse alles entfernen, was gefunden wird
Malwarebytes Anti-Malware

««
wende bitte Combofix an + poste den report
combofix

Ledgy · 24.04.2008, 10:48

so, hier der log von combofix:

ComboFix 08-04-22.5 - Administrator 2008-04-24 11:31:47.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ababcMoq.ini
C:\WINDOWS\system32\ababcMoq.ini2
C:\WINDOWS\system32\BehgNXyb.ini
C:\WINDOWS\system32\BehgNXyb.ini2
C:\WINDOWS\system32\nnnKbXQh.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 11:31 . 2008-04-24 11:31 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-04-23 21:07 . 2008-04-23 21:07 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-23 21:07 . 2008-04-23 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-23 21:07 . 2008-04-23 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-04-23 18:36 . 2008-04-23 18:36 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-23 18:27 . 2008-04-23 18:27 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-04-23 16:49 . 2008-04-23 16:49 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-23 13:11 . 2008-04-23 13:11 <DIR> d-------- C:\Programme\Trend Micro
2008-04-23 11:15 . 2008-04-23 11:15 15 --a------ C:\WINDOWS\system32\f0bdd695
2008-04-23 11:08 . 2008-04-23 11:08 109,734 --a------ C:\WINDOWS\BMf38ef787.xml
2008-04-23 09:47 . 2008-04-23 18:27 <DIR> d-------- C:\VundoFix Backups
2008-04-23 09:39 . 2008-04-23 09:39 <DIR> d-------- C:\Programme\CCleaner
2008-04-20 21:55 . 2008-04-22 14:19 <DIR> d-------- C:\Programme\AutoShutdown
2008-04-13 22:16 . 2008-04-13 22:16 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-04-13 22:16 . 2008-04-13 22:26 <DIR> d-------- C:\Programme\Electrotank
2008-04-13 14:43 . 2008-04-13 14:42 128,625 --a------ C:\setup.isn
2008-04-13 14:43 . 2008-04-13 14:42 6,129 --a------ C:\0x0409.ini
2008-04-13 14:43 . 2008-04-13 14:42 2,059 --a------ C:\Setup.INI
2008-04-12 19:31 . 2008-04-12 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Steinberg
2008-04-12 19:28 . 2007-12-09 00:32 487,936 --a------ C:\WINDOWS\system32\rmbe3260.dll
2008-04-12 19:28 . 2007-12-09 00:32 352,768 --a------ C:\WINDOWS\system32\pngu3263.dll
2008-04-12 19:28 . 2007-12-09 00:32 131,072 --a------ C:\WINDOWS\system32\pneng50.dll
2008-04-12 19:28 . 2007-12-09 00:32 130,560 --a------ C:\WINDOWS\system32\pnc3250.dll
2008-04-12 19:28 . 2007-12-09 00:32 87,040 --a------ C:\WINDOWS\system32\ra32sipr.dll
2008-04-12 19:28 . 2007-12-09 00:32 85,504 --a------ C:\WINDOWS\system32\encdnet.dll
2008-04-12 19:28 . 2007-12-09 00:32 81,920 --a------ C:\WINDOWS\system32\ra3214_4.dll
2008-04-12 19:28 . 2007-12-09 00:32 72,704 --a------ C:\WINDOWS\system32\ra3228_8.dll
2008-04-12 19:28 . 2007-12-09 00:32 61,952 --a------ C:\WINDOWS\system32\decdnet.dll
2008-04-12 19:28 . 2007-12-09 00:32 21,504 --a------ C:\WINDOWS\system32\ra32dnet.dll
2008-04-12 19:26 . 2008-04-12 19:26 <DIR> d-------- C:\Programme\Syncrosoft
2008-04-12 19:26 . 2005-11-08 20:02 708,608 --a------ C:\WINDOWS\system32\SYNSOACC.dll
2008-04-12 19:26 . 2005-11-08 11:20 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll
2008-04-12 19:26 . 2003-07-31 19:28 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm
2008-04-12 19:26 . 2003-05-26 14:29 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm
2008-04-12 19:26 . 2003-05-26 14:29 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm
2008-04-12 19:26 . 2005-11-03 17:14 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe
2008-04-12 19:26 . 2005-05-09 20:08 33,792 --a------ C:\WINDOWS\system32\drivers\cledx.sys
2008-04-12 19:26 . 2005-11-03 12:17 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys
2008-04-12 18:43 . 2008-04-12 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Digidesign
2008-04-12 18:40 . 2008-04-12 18:40 <DIR> d-------- C:\WINDOWS\system32\IOSUBSYS
2008-04-12 18:40 . 2000-10-12 17:06 2,015,293 --a------ C:\WINDOWS\system32\DAE.dll
2008-04-12 18:40 . 2000-10-12 10:29 447,777 --a------ C:\WINDOWS\system32\DAE.dll.rsr
2008-04-12 18:40 . 1999-09-15 20:04 41,797 --a------ C:\WINDOWS\system32\Tpkd.vxd
2008-04-12 18:40 . 2000-10-12 11:05 4,953 --a------ C:\WINDOWS\system32\Dalvxd.vxd
2008-04-12 18:10 . 2008-04-12 18:10 <DIR> d-------- C:\Digidesign Databases
2008-04-12 18:06 . 2004-03-31 03:00 888,832 --a------ C:\WINDOWS\system32\DirectIO.dll
2008-04-12 18:06 . 2004-03-31 03:00 573,440 --a------ C:\WINDOWS\system32\DSI.dll
2008-04-11 14:04 . 2008-04-22 15:34 <DIR> d-------- C:\Programme\M-Audio
2008-04-11 13:43 . 2006-08-17 19:14 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-04-11 13:43 . 2006-08-17 19:14 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-08 16:25 . 2008-04-08 16:28 <DIR> d-------- C:\Programme\FrostWire
2008-04-08 16:25 . 2008-04-08 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Shared
2008-04-08 16:25 . 2008-04-08 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Incomplete
2008-04-08 16:25 . 2008-04-08 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FrostWire
2008-04-05 12:51 . 2008-04-05 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2008-04-05 12:31 . 2008-04-05 12:31 <DIR> d-------- C:\Programme\Combined Community Codec Pack
2008-04-05 12:14 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2008-04-05 12:13 . 2008-04-05 12:14 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2008-04-05 12:03 . 2008-04-05 12:03 <DIR> d-------- C:\Programme\iPod
2008-04-05 12:01 . 2008-04-05 12:02 <DIR> d-------- C:\Programme\QuickTime
2008-03-30 10:18 . 2008-03-30 10:18 <DIR> d-------- C:\Programme\Google
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 22:17 . 2008-03-28 22:17 <DIR> d-------- C:\Programme\Swf2Avi
2008-03-27 14:45 . 2008-03-27 14:45 <DIR> d-------- C:\virtual dub
2008-03-25 16:35 . 2008-04-24 11:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-25 16:35 . 2008-03-25 16:35 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-25 15:44 . 2008-03-25 15:44 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-03-25 15:44 . 2008-03-25 15:44 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-03-25 15:43 . 2008-03-25 15:43 <DIR> d-------- C:\Programme\TerraTec Electronic GmbH
2008-03-25 15:43 . 2008-03-25 15:43 <DIR> d-------- C:\Programme\Fazsoftware
2008-03-25 15:42 . 2008-03-25 15:42 <DIR> d-------- C:\WINDOWS\FlyakiteOSX
2008-03-25 15:42 . 2008-03-25 15:42 <DIR> d-------- C:\Programme\ratDVD
6 Datei(en) . 9,490,173 C:\ComboFix\Bytes
3 Datei(en) . 1,209,364 C:\ComboFix\Bytes
2 Datei(en) . 1,270,784 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 09:38 --------- d-----w C:\Programme\PeerGuardian2
2008-04-24 08:06 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-04-23 15:32 --------- d-----w C:\Programme\Trillian
2008-04-23 15:32 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-04-23 14:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-23 14:41 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-04-22 21:07 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-04-22 13:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-22 13:38 --------- d-----w C:\Programme\SpeedFan
2008-04-22 09:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-04-19 11:15 --------- d-----w C:\Programme\eMule
2008-04-14 19:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-04-14 08:34 1,102 ----a-w C:\WINDOWS\Fonts\FGR_____.PFM
2008-04-14 08:34 1,071 ----a-w C:\WINDOWS\Fonts\FGC_____.PFM
2008-04-14 08:34 1,067 ----a-w C:\WINDOWS\Fonts\FGEC____.PFM
2008-04-12 18:04 --------- d-----w C:\Programme\Waves
2008-04-12 17:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Waves Preferences
2008-04-12 16:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Digidesign
2008-04-12 09:54 --------- d-----w C:\Programme\AskPBar
2008-04-11 12:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-04-11 12:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PACE Anti-Piracy
2008-04-06 11:23 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 3
2008-04-05 10:12 --------- d-----w C:\Programme\DivX
2008-04-05 10:12 --------- d-----w C:\Programme\AC3Filter
2008-04-05 10:03 --------- d-----w C:\Programme\iTunes
2008-03-28 18:07 --------- d-----w C:\Programme\Electronic Arts
2008-03-25 14:07 --------- d-----w C:\Programme\Bonjour
2008-03-25 13:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-24 19:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-22 07:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-21 20:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-03-20 13:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-03-20 13:35 --------- d-----w C:\Programme\Autodesk
2008-03-20 13:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-03-20 13:12 --------- d-----w C:\Programme\MagicISO
2008-03-19 18:40 --------- d-----w C:\Programme\Roland
2008-03-16 14:18 219,136 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-03-16 14:12 22,328 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2008-03-14 17:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-03-14 17:10 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-14 17:10 --------- d-----w C:\Programme\Focus
2008-03-12 10:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
2008-03-12 10:03 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 10:03 --------- d--h--r C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-03-05 12:27 --------- d-----w C:\Programme\ArKaos VJ 3.6.1 FC2
2008-03-05 11:05 --------- d-----w C:\Programme\ArKaos Visualizer 1.6.2
2008-01-29 10:02 107,368 ----a-w C:\WINDOWS\system32\GEARAspi.dll
2007-11-26 15:35 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2007-09-09 21:10 360576 0fb6743e937c7bb248b2530a5a77abc6 C:\WINDOWS\system32\dllcache\tcpip.sys
2007-09-09 21:10 360576 0fb6743e937c7bb248b2530a5a77abc6 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A74888B-6996-4A75-B422-9A62573F544F}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9CFDE960-4722-42CF-82FD-4FE58AB0641E}]
C:\WINDOWS\system32\qoMcbaba.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\Eraser.exe" [2007-07-28 23:05 277328]
"PeerGuardian"="C:\Programme\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 14:45 133576]
"DLD.EXE"="C:\Programme\Download Direct\DLD.exe" [ ]
"BlazeServoTool"="C:\Programme\BlazeVideo\BlazeDVD 5 Professional\MediaDetector.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 12:02 262401]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35 2372760]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"Adobe Version Cue CS2"="D:\Grafik\adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-04 18:58 856064]
"Acrobat Assistant 7.0"="D:\Grafik\adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"MBpatch"="C:\program files\Creative\MBsetup\RemoveKey.exe" [ ]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 07:03 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 07:03 81920]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2007-12-11 04:59 307200]
"BMf38ef787"="C:\WINDOWS\system32\pbsdniqe.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"Midi1"= EMGM4U2K.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ASUS\\AsusUpdate\\Update.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"D:\\Grafik\\adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"D:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"D:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"D:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 11:43]
R2 RVIEG01;VSC Engine;C:\Programme\Roland\Virtual Sound Canvas DXi\RVIEg01.sys [2001-04-13 20:16]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
R3 TASCAM_US122144;TASCAM USB 2.0 Audio Device driver;C:\WINDOWS\system32\Drivers\tascusb2.sys [2007-02-01 14:38]
R3 TASCAM_US122L_MIDI;TASCAM US-122L WDM MIDI Device;C:\WINDOWS\system32\drivers\tscusb2m.sys [2007-02-01 14:38]
R3 TASCAM_US122L_WDM;TASCAM US-122L WDM;C:\WINDOWS\system32\drivers\tscusb2a.sys [2007-02-01 14:38]
S2 EmgicUsb;emagic USB kernel driver;C:\WINDOWS\system32\Drivers\EMGICUSB.sys [2001-12-06 18:57]
S2 EMGM4U2K;emagic MT4 configuration node;C:\WINDOWS\system32\drivers\EMGM4U2K.sys [2001-12-06 18:54]
S3 CTSFSYN;Creative SoundFont Synth;C:\WINDOWS\system32\drivers\ctsfsyn.sys []
S3 L6DP;L6DP;C:\WINDOWS\system32\Drivers\l6dp.sys []
S3 L6TPortA;Service - Line 6 TonePort UX1;C:\WINDOWS\system32\Drivers\L6TPortA.sys []
S3 MPPNFR;MPPNFR;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MPPNFR.exe []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 ttp9;TTP9 WDM Audio;C:\WINDOWS\system32\drivers\ttp9.sys [2003-02-10 14:33]

.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 17:12:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-24 11:37:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-24 11:46:28 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-04-24 09:46:15

14 Verzeichnis(se), 7,663,984,640 Bytes frei
17 Verzeichnis(se), 11,659,345,920 Bytes frei

254

TR/Vundo.Gen

Log-Analyse und Auswertung: TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

Ähnliche Themen: TR/Vundo.Gen