Hallo!

Heute hat mir ein Freund den Rechner seiner Tochter vorbeigebracht, weil
AntiVir Arlam schlaegt. Ist ne Menge Zeuch installiert, von deren Existenz
ich nicht mal wusste - was man als Teen halt so braucht.
Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.
Hat jemand ein paar Tipps, wie ich das Ding wieder halbwegs sauber bekomme
und wieder mit halbwegs gutem Gewissen zurueck geben kann?

Hier das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:49, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe
C:\Programme\DNT\SimHID\SimHID.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\Dokumente und Einstellungen\Jacky\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
R3 - URLSearchHook: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O2 - BHO: (no name) - {0E7898A6-81BA-4094-A620-AE77DB37C8D5} - C:\WINDOWS\system32\hgGxUklJ.dll (file missing)
O2 - BHO: {609b4c25-01b5-e779-80d4-04433b75cb96} - {69bc57b3-3440-4d08-977e-5b1052c4b906} - C:\WINDOWS\system32\sfhfcewy.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\ldlgatht.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe" -auto
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\DNT\SimHID\SimHID.exe
O4 - Global Startup: Tenda TWL541U.lnk = C:\Programme\Tenda\TWL541U\Mrv8000x.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.bigfishgames.com/online/chainz2/mjolauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: jkkKecyx - C:\WINDOWS\SYSTEM32\jkkKecyx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10544 bytes


Vielen Dank!

Zitat:

Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.

Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

C:\WINDOWS\SYSTEM32\jkkKecyx.dll
C:\WINDOWS\system32\ldlgatht.dll

Werte diese Dateien bei Virustotal.com aus und poste die Ergebnisse. Danach sehen wir weiter.

Zitat:

Zitat von root24

Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

Toechterchen muss unbedingt ihre "lebenswichtigen" Kommunikationstools
mit ihren Einstellungen behalten.

Also let's go...

Zitat:

Datei ldlgatht.VIR000 empfangen 2008.05.24 20:20:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 TR/Monder.DU
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.24 Win32:Monder-V
AVG 7.5.0.516 2008.05.24 Generic10.XOJ
BitDefender 7.2 2008.05.24 Trojan.Vundo.ELY
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV None 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 Suspicious File
eTrust-Vet 31.4.5817 2008.05.23 Win32/Vundo!generic
Ewido 4.0 2008.05.24 -
F-Prot 4.4.4.56 2008.05.23 W32/Virtumonde.R.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.23 Vundo.gen177
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Monder.du
Ikarus T3.1.1.26.0 2008.05.24 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.05.24 Trojan.Win32.Monder.du
McAfee 5302 2008.05.23 Vundo.gen.c
Microsoft 1.3520 2008.05.24 Trojan:Win32/Vundo.FBP
NOD32v2 3128 2008.05.23 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.23 W32/Virtumonde.VLQ
Panda 9.0.0.4 2008.05.24 -
Prevx1 V2 2008.05.24 Cloaked Malware
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 Trojan.Vundo
TheHacker 6.2.92.318 2008.05.23 Trojan/Monder.du
VBA32 3.12.6.6 2008.05.24 Trojan.Win32.Monder.du
VirusBuster 4.3.26:9 2008.05.24 -
Webwasher-Gateway 6.6.2 2008.05.24 Trojan.Monder.DU
weitere Informationen
File size: 92224 bytes
MD5...: 129546aba5149302553b3e08fd44dd52
SHA1..: 14cc2390da97d13228bd3031823a130926224196
SHA256: 4e703c85d6ca1978a3302200412d9eedf82bc7a16e61b54284457d2bc119fd1a
SHA512: 74f9c9b2466ba0030d5194bc2e94842795c996656207ec711064205ea2750644
72dfc44be064d59cc6e630dcec07cf6a41fdc223d09c7503ae6af071622ccc73
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100068c6
timedatestamp.....: 0xd335b799L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x5c00 7.77 79670fbfaccbfc5d85e71c897f292422
.data 0x19000 0x10000 0x10000 7.99 a9adeeba3309de5bbb43abf3f1125f51
.rdata 0x29000 0x1000 0x400 6.38 85027e8bed4ac884a25228835906ba3b
.idata 0x2a000 0x1000 0x400 0.77 8d4f4f05d98bec0aacc67b269e791438

( 1 imports )
> kernel32.dll: SleepEx, TlsAlloc, lstrlenA, ExitProcess

( 0 exports )
Prevx info: 61056511.VIR - Prevx

Zitat:

Die Datei wurde bereits analysiert:
MD5: 22c6b53ad7900203ca7bd688905a8435
First received: 2008.03.25 13:30:50 (CET)
Datum 2008.05.01 06:46:48 (CET) [>23D]
Ergebnisse 20/32
Permalink: analisis/b574b806b7d41729df8ad7933c7aab96

Zitat:

Datei jkkKecyx.dll empfangen 2008.05.01 06:46:48 (CET)
Status: Beendet
Ergebnis: 20/32 (62.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Crypt-BJR
AVG - - Generic10.FSO
BitDefender - - Trojan.Vundo.EEN
CAT-QuickHeal - - Trojan.Vundo.bhh
ClamAV - - Trojan.Vundo-2376
DrWeb - - -
eSafe - - -
eTrust-Vet - - Win32/Vundo.VQ
Ewido - - -
F-Prot - - W32/Virtumonde.N.gen!Eldorado
F-Secure - - -
FileAdvisor - - -
Fortinet - - Virtum!tr
Ikarus - - Trojan.Vundo.EEN
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Vundo.gen!F
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - W32/Vundo.BK
Panda - - Generic Trojan
Prevx1 - - SpywareQuake
Rising - - Trojan.Win32.Undef.fft
Sophos - - Troj/Virtum-Gen
Sunbelt - - Virtumonde
Symantec - - -
TheHacker - - -
VBA32 - - Win32.Adware.Virtumonde
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen#ASPack
weitere Informationen
MD5: 22c6b53ad7900203ca7bd688905a8435
SHA1: 98a0dc42c01b65bd35024ddf04aad15dccfd6eed
SHA256: 0569e7b51b3e0120bee62fe1ca0760cb16aac3fd9cf817a78e80cd840adb3010
SHA512: 0b36b10e5baa0d4ae2af0bd2703d5971e7b86298d8c1ad327608865f86ab73261443edafe870742500fd4810180d528a020df16cfaee1ad20e4a30e8cd43a9b8

Gibts ne Chance?

Probieren wirs mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

OK - abgearbeitet - mit maessigem Erfolg.

Mit CCleaner schien alles gut zu laufen.

Mit ComboFix zunaechst auch.
Nach dem von ComboFix initierten Neustart war zu lesen...

Zitat:

Bereite Logdatei vor - Starte keine Programme.........

AntiVir melde sich schon..TR/Crypt.XPACK.Gen

ComboFix

Zitat:

Fast Fertig - Dieses Bild wird sich in kuerze schliessen...
Bitte warten sie ein paar Sekunden, damit das log geoeffnet wird....

Die anderen "zig-Autostart-Programme" starten natuerlich auch.

Logfile-Fenster geht auf und ich starte den Versuch uber den einzigen
Browser (IE) hier das logfile zu posten. Nach kurzer Zeit, warnt der IE vor
Viren und Trojanern und will Software installieren und scannen. Ich "No"

Dann nochmal Neustart und AntiVir sagt wieder "TR/Crypt.XPACK.Gen" und
jetzt auch noch "TR/Vundo.Gen".

Der ComboFix Logfile scheint auch nicht mehr Board-konform ausgegallen zu
sein.

Zitat:

1. Der Text, den Sie eingegeben haben, besteht aus 202776 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

Deshalb mal hier mal unkonventionell zu Ansicht:

http://www.gigasoft.biz/combotext.txt

Hast Du vor Combofix denn auch Virenscannerwächter temp. deaktiviert? Solltest Du lt. der Anleitung!

Mit combofix alleine kannst Du nicht alles bereinigen, man muß noch manuell alles durchschauen und ggf. noch vorhandene schädliche Dateien löschen. Ich meld mich daher noch wie du da vorgehen solltest.