Ich habe mir auf Windows XP mehrere Schädlinge eingefangen und brauche dringend Hilfe. Ich habe Ad-Aware,Spybot,Avira und HijackThis durchlaufen lassen und habe ein paar verdächtige Dateien gefunden, was meint ihr dazu?

C:\RECYCLER\S-1-5-21-854245398-746137067-725345543-1003\Dc5.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-854245398-746137067-725345543-1003\Dc6.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-854245398-746137067-725345543-1003\Dc8.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Hier noch was(bin mir nicht sicher):

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '40' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINXP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Lukas.FAMILIE\Lokale Einstellungen\Temp\desktop_background.zip
[0] Archivtyp: ZIP
--> install-privacy-danger.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/Fake.Privdanger
[HINWEIS] Die Datei wurde gelöscht.

Das ist der Report von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18:16:24, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\LUKAS~1.FAM\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} - C:\WINDOWS\system32\vtUlMcYP.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [BearFlix] "F:\Programme\BearFlix\BearFlix.exe" /pause
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [fssui] "C:\Programme\Windows Live\Family Safety\fssui.exe" -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?7cb30928c9b34ec7bbc411f7eabe9581
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?7cb30928c9b34ec7bbc411f7eabe9581
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: vtUlMcYP - C:\WINDOWS\SYSTEM32\vtUlMcYP.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: omlbpkaw - {FB437077-E987-4FD2-BCD9-1BB73AFDCC7A} - C:\WINDOWS\omlbpkaw.dll
O21 - SSODL: pmsoarbf - {C5B5949B-AF55-4302-9A03-65858CAE9662} - C:\WINDOWS\pmsoarbf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\Programme\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Ist sehr viel ich weiss.
Ausserdem blinkt in der Taskleiste immer ein kleines Achteck mit einem Kreuz in der Mitte, es zeigen sich immer 2 Fehlermeldung:

Worm.Win32.NetBooster, wenn ich bei dem auf OK klicke öffnet es eine komische "Sicherheitsseite" im Internet-Explorer.
Und:
Windows Security Alert, auch dort öffnet es bei OK eine "Sicherheitsseite".

Beim anmelden auf mein Konto hat es immer drei Desktop-Verknüpfungen:
Error Cleaner
Privacy Protector
Spyware&Malware Protection

Ich danke schon im Voraus auf Antworten!

Hi,

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\SYSTEM32\vtUlMcYP.dll

VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste bitte die Ergebnisse mit Filename;
Falls alles erkannt wurde bitte damit weitermachen:

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Zitat:

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUlMcYP

Files to delete:
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\SYSTEM32\vtUlMcYP.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen (unbedingt Spybot und Teatimer) sein!

Zitat:

Unbekannt
O20 - Winlogon Notify: vtUlMcYP - C:\WINDOWS\SYSTEM32\vtUlMcYP.dll
O21 - SSODL: omlbpkaw - {FB437077-E987-4FD2-BCD9-1BB73AFDCC7A} - C:\WINDOWS\omlbpkaw.dll
O21 - SSODL: pmsoarbf - {C5B5949B-AF55-4302-9A03-65858CAE9662} - C:\WINDOWS\pmsoarbf.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007

Poste das Log bzw. das Ergebnis von HJ...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Chris

Huhu ihr Beiden.

Ich will nicht dazwischen funken aber ich würde es mal etwas einfacher und gründlicher versuchen:

Folge dieser Anleitung. Schritte 1 und 2 durchführen. (1.Suche - 2.Bereinigung) Wiederhole diese Schritte so oft bis nichts mehr gefunden wird!

Danach führe dieses Tool im abgesicherten Modus aus.

Poste bitte das VBG-Log (befindet sich auf deinem Desktop) und ein frisches HijackThis logfile.

Der Zlob kann danach entfernt werden.

http://www.trojaner-board.de/30411-a...-von-zlob.html

Also ich probiers mal mit VundoFix.
Konnte vorher noch nicht schauen, weil wir 2 Katzen abgeholt haben

Ich kann bei VundoFix nichts löschen,nur scannen.
was jetzt?

Zitat:

Ich kann bei VundoFix nichts löschen,nur scannen.

Warum?
Wurde denn was gefunden? Wenn nicht dann mache mit VBG weiter..

Gefunden hats nichts, so wie´s aussieht.

Das ist der VGB-Report:


[04/27/2008, 18:37:15] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Lukas.FAMILIE\Desktop\VirtumundoBeGone.exe" )
[04/27/2008, 18:37:16] - User choose NOT to continue. Exiting...

noch einer:


[04/27/2008, 18:37:15] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Lukas.FAMILIE\Desktop\VirtumundoBeGone.exe" )
[04/27/2008, 18:37:16] - User choose NOT to continue. Exiting...

[04/27/2008, 18:38:00] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Lukas.FAMILIE\Desktop\VirtumundoBeGone.exe" )
[04/27/2008, 18:38:02] - Detected System Information:
[04/27/2008, 18:38:02] - Windows Version: 5.1.2600, Service Pack 2
[04/27/2008, 18:38:02] - Current Username: Lukas (Admin)
[04/27/2008, 18:38:02] - Windows is in NORMAL mode.
[04/27/2008, 18:38:02] - Searching for Browser Helper Objects:
[04/27/2008, 18:38:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[04/27/2008, 18:38:02] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/27/2008, 18:38:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:02] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/27/2008, 18:38:02] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/27/2008, 18:38:02] - BHO 3: {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} ()
[04/27/2008, 18:38:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:02] - Checking for HKLM\...\Winlogon\Notify\vtUlMcYP
[04/27/2008, 18:38:02] - Found: HKLM\...\Winlogon\Notify\vtUlMcYP - This is probably Virtumundo.
[04/27/2008, 18:38:02] - Assigning {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} MSEvents Object
[04/27/2008, 18:38:02] - BHO list has been changed! Starting over...
[04/27/2008, 18:38:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[04/27/2008, 18:38:02] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/27/2008, 18:38:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:02] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/27/2008, 18:38:03] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/27/2008, 18:38:03] - BHO 3: {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (MSEvents Object)
[04/27/2008, 18:38:03] - ALERT: Found MSEvents Object!
[04/27/2008, 18:38:03] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2008, 18:38:03] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2008, 18:38:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:03] - No filename found. Continuing.
[04/27/2008, 18:38:03] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Anmelde-Hilfsprogramm)
[04/27/2008, 18:38:03] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[04/27/2008, 18:38:03] - Finished Searching Browser Helper Objects
[04/27/2008, 18:38:03] - *** Detected MSEvents Object
[04/27/2008, 18:38:03] - Trying to remove MSEvents Object...
[04/27/2008, 18:38:04] - Terminating Process: IEXPLORE.EXE
[04/27/2008, 18:38:04] - Terminating Process: RUNDLL32.EXE
[04/27/2008, 18:38:04] - Disabling Automatic Shell Restart
[04/27/2008, 18:38:04] - Terminating Process: EXPLORER.EXE
[04/27/2008, 18:38:05] - Suspending the NT Session Manager System Service
[04/27/2008, 18:38:05] - Terminating Windows NT Logon/Logoff Manager
[04/27/2008, 18:38:05] - Re-enabling Automatic Shell Restart
[04/27/2008, 18:38:05] - File to disable: C:\WINDOWS\system32\vtUlMcYP.dll
[04/27/2008, 18:38:05] - Renaming C:\WINDOWS\system32\vtUlMcYP.dll -> C:\WINDOWS\system32\vtUlMcYP.dll.vir
[04/27/2008, 18:38:05] - File successfully renamed!
[04/27/2008, 18:38:05] - Removing HKLM\...\Browser Helper Objects\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3}
[04/27/2008, 18:38:05] - Removing HKCR\CLSID\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3}
[04/27/2008, 18:38:05] - Adding Kill Bit for ActiveX for GUID: {6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3}
[04/27/2008, 18:38:05] - Deleting ATLEvents/MSEvents Registry entries
[04/27/2008, 18:38:05] - Removing HKLM\...\Winlogon\Notify\vtUlMcYP
[04/27/2008, 18:38:06] - Searching for Browser Helper Objects:
[04/27/2008, 18:38:06] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[04/27/2008, 18:38:06] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[04/27/2008, 18:38:06] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:06] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[04/27/2008, 18:38:06] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[04/27/2008, 18:38:06] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2008, 18:38:06] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2008, 18:38:06] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2008, 18:38:06] - No filename found. Continuing.
[04/27/2008, 18:38:06] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Anmelde-Hilfsprogramm)
[04/27/2008, 18:38:06] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[04/27/2008, 18:38:06] - Finished Searching Browser Helper Objects
[04/27/2008, 18:38:06] - Finishing up...
[04/27/2008, 18:38:06] - A restart is needed.
[04/27/2008, 18:38:07] - Attempting to Restart via STOP error (Blue Screen!)

[04/27/2008, 19:00:53] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Lukas.FAMILIE\Desktop\VirtumundoBeGone.exe" )
[04/27/2008, 19:00:54] - User choose NOT to continue. Exiting...

Jute. Dann fahre mit der Entfernung des Zlobs fort..

Also ich glaube es wurde alles entfernt, jedenfalls zeigt es nichts mehr an und es öffnet nichts.
Danke für die Hilfe, wenn doch noch etwas ist melde ich mich einfach
mfg tedman0674
thanks

Hast du SmitFraudFix laufen lassen??

Wenn nicht dann wurde definitiv NICHT alles entfernt!

habs 3-mal laufen lassen, aber das beste wäre ja immer noch XP neu aufzusetzen,
hab aber keine Lust dazu.es kommen noch ab und zu viren-meldungen von Avira, aber ich lösch sie immer und sowieso kommt es nur wenn ich aufm Internet surfe.

http://virus-protect.org/artikel/tools/combofix.html
laden genauestens an anleitung halten log posten
was findet antivir wo
poste ein frisches hjt-log