TR/Vundo.Gen will nicht weichen

Droda · 28.05.2008, 10:47

Hallo zusammen,

ich bin froh dieses board gefunden zu haben

da ich nicht mehr weiter weiß.
hab den trojaner tr/vundo.gen drauf und hab auch schon vundo-fix durchlaufen lassen aber er zeigt immer an 0 gefunden. komisch ist nur das mir antivir 2 an zeigt.
die datein die mir antivir bringt heißen: ssqOGawX.dll und jkkJcCVP.dll
baruch ja nicht zu erwähnen das diese sich nicht entfernen lassen.
ps: antivir zeigt mir im bericht noch den trojaner tr/dropper.gen an.

muss dazu sagen das der rechner kein netzwerkkabel mehr erkennt und ich somit nicht mehr ins i-net komme. der rechner gehört nen kumpel und der geht (ging) über t-online rein.
somit muss ich jetzt immer die rechner wechseln um ins netz zu kommen oder halt den anderen dran um zu testen.

hab jetzt mal HijackThis durchlaufen lassen und folgendes ist raus gekommen:
bin für jede hilfe dankbar!!!

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:03, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DelayLoad] C:\DOKUME~1\Alex\LOKALE~1\Temp\msprint.exe
O4 - HKLM\..\Run: [advap32] C:\DOKUME~1\Alex\LOKALE~1\Temp\stdcons.exe/r
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WinSpywareProtect (ver. 5.1)] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {75797970-5E52-4DF3-A0B2-E5484800EC01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {75797970-5E52-4DF3-A0B2-E5484800EC01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122473221526
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122473503666
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080125-1
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7428 bytes

Droda · 28.05.2008, 15:04

hallo,

weiß keiner einen rat?

ich möchte nämilich nich unbedingt mein system neu afsetzen.

please help!

**Sunny** · 28.05.2008, 16:43

Hallo Droda und

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Droda · 28.05.2008, 16:53

Hallo [GC]Sunny,

vielen dank für diese info!!!
ich werde dies gleich heute abend (nach der arbeit ca. 00.00Uhr) durchführen und dann alles posten wie gewünscht!

Vielen Dank noch mal

ps: klasse board!!!

Droda · 28.05.2008, 23:32

so hab jetzt CCleaner und combofix ausgeführt. danach hab ich noch nichts weiter angerührt, außer schnell combofix.txt gebrannt und wieder den rechner gewechselt, nicht das ich den hengst gleich wieder zum leben erwecke.
hoffe das jetzt alles i.o. ist und du grünes licht gibst, das ist der bericht;

Code:

ATTFilter

ComboFix 08-05-28.1 - *** 2008-05-29  0:11:54.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080520141546031.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080520193640546.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521180114515.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521181514015.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080521204856796.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080522165331859.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080522172350437.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080522172841593.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080523214656921.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080524092108500.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080525063150671.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527102939812.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527104909937.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527112545453.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527113255421.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527114410375.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527114922640.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527123941031.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527131123234.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527133736312.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080528110140656.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080528110509593.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080528111153781.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080528130549328.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080528235525640.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\WINDOWS\fvowketqfgq.dll
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\system32\jkkJcCVP.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\PVCcJkkj.ini
C:\WINDOWS\system32\PVCcJkkj.ini2
C:\WINDOWS\system32\ssqOGawX.dll
C:\WINDOWS\vbksrofa.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-04-28 bis 2008-05-28  ))))))))))))))))))))))))))))))
.

2008-05-29 00:00 . 2008-05-29 00:00	<DIR>	d--------	C:\Programme\CCleaner
2008-05-28 11:18 . 2008-05-28 11:18	<DIR>	d--------	C:\Programme\Trend Micro
2008-05-28 10:51 . 2008-05-28 10:51	0	--a------	C:\WINDOWS\nsreg.dat
2008-05-28 10:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Programme\Mozilla Firefox(2)
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\Vorlagen
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\UserData
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\Lokale Einstellungen
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\Favoriten
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\Anwendungsdaten\CyberLink
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator.ALEXANDER\Anwendungsdaten
2008-05-27 13:50 . 2008-05-28 10:57	<DIR>	d---s----	C:\Dokumente und Einstellungen\Administrator.ALEXANDER
2008-05-27 12:50 . 2008-05-28 11:18	2,744	--a------	C:\WINDOWS\system32\PerfStringBackup.TMP
2008-05-27 12:40 . 2008-05-27 12:56	<DIR>	d--------	C:\VundoFix Backups
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\UserData
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-27 11:18 . 2008-05-28 10:58	<DIR>	d---s----	C:\Dokumente und Einstellungen\Administrator
2008-05-27 10:49 . 2008-05-28 10:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\F-Secure
2008-05-27 10:41 . 2008-05-27 10:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-05-27 10:40 . 2008-05-28 10:58	<DIR>	d--------	C:\Programme\F-Secure Internet Security
2008-05-27 10:40 . 2008-05-27 10:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-05-27 10:29 . 2008-05-27 10:29	15	--a------	C:\WINDOWS\system32\10b72ee1
2008-05-21 20:40 . 2004-08-04 14:00	10,096,640	--a--c---	C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-05-21 20:39 . 2004-05-13 00:39	876,653	--a--c---	C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-05-21 20:36 . 2008-05-21 20:36	488	-rah-----	C:\WINDOWS\system32\logonui.exe.manifest
2008-05-21 20:35 . 2008-05-21 20:35	749	-rah-----	C:\WINDOWS\WindowsShell.Manifest
2008-05-21 20:35 . 2008-05-21 20:35	749	-rah-----	C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-05-21 20:35 . 2008-05-21 20:35	749	-rah-----	C:\WINDOWS\system32\sapi.cpl.manifest
2008-05-21 20:35 . 2008-05-21 20:35	749	-rah-----	C:\WINDOWS\system32\ncpa.cpl.manifest
2008-05-21 20:23 . 2001-08-17 12:13	27,165	--a------	C:\WINDOWS\system32\drivers\fetnd5.sys
2008-05-21 20:10 . 2004-08-04 14:00	1,086,058	-ra------	C:\WINDOWS\SETDD.tmp
2008-05-21 20:10 . 2004-08-04 14:00	1,014,663	-ra------	C:\WINDOWS\SETDA.tmp
2008-05-21 20:10 . 2004-08-04 14:00	14,043	-ra------	C:\WINDOWS\SETE9.tmp
2008-05-20 14:16 . 2008-05-20 14:16	62,910	--a------	C:\Programme\Uninstall.exe
2008-05-20 14:16 . 2008-05-20 14:16	0	--a------	C:\Programme\uninstall.dat
2008-05-18 20:10 . 2008-05-17 01:58	159,744	--a------	C:\WINDOWS\emxa.exe
2008-05-18 20:10 . 2008-05-17 01:59	102,400	--a------	C:\WINDOWS\oadkxrts.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 16:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-05 08:12	---------	d-----w	C:\Programme\Lexmark X1100 Series
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-22 20:50 68856]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"WinSpywareProtect (ver. 5.1)"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:51 57344]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 14:32 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-03 00:20 282624]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00 208952]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 15:53 88203 C:\WINDOWS\AGRSMMSG.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 17:33 147456 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 21:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.exe" [2005-11-29 13:04 847872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
--a------ 2005-11-29 13:04 847872 C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
--a------ 2005-03-11 17:33 147456 C:\WINDOWS\system32\VTTrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Messenger\\Msmsgs.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-14 19:12]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-14 19:12]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 17:24]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]
S3 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-11-26 14:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-19 19:18]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-28 22:16:45 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-28 08:50:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"

**Sunny** · 29.05.2008, 14:32

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSpywareProtect (ver. 5.1)"=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Droda · 29.05.2008, 15:07

ok, werd ich heute abend wieder testen.
wie ich das jetzt deinem post entnhemen kann (als leihe) wurde scheinbar noch nicht alles entfernt.
soll ich combofix gleich entfernen nachdem ich es nochmal ausgeführt habe oder erst nachdem du dann grünes licht gegeben hast (nach neuem log)?

danke schon mal für die schnlle und unklomplizierte hilfe bis hier hin!

**Sunny** · 29.05.2008, 15:11

du kannst das CF gleich entfernen nach dem du es das letzte mal genutzt hast.

Wenn danach absolut keine Probleme mehr mit dem System bestehen, bekommst du von mir dann auch das "grüne Licht".

Sunny

29.05.2008, 15:11	#8
Sunny Administrator > Competence Manager	TR/Vundo.Gen will nicht weichen du kannst das CF gleich entfernen nach dem du es das letzte mal genutzt hast. Wenn danach absolut keine Probleme mehr mit dem System bestehen, bekommst du von mir dann auch das "grüne Licht". Sunny __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

TR/Vundo.Gen will nicht weichen

Log-Analyse und Auswertung: TR/Vundo.Gen will nicht weichen