Hallo zusammen, als relativ unerfahrene logfile Leserin benötige ich bitte Eure Hilfe.

Antivir hat mir einen Trojaner gemedet, der von Antivir auch nicht gelöscht werden konnte.

Titel: TR/Vundo.Gen

Nach dem erfolglosen Versuch ihn mit HijackThis im abgesicherten Modus zu entfernen, habe ich mich durch Euer Board gelesen und einige Tipps befolgt, die ich dort gefunden habe, und zwar:

1. ich habe die versteckten Dateien anzeigen lassen.
2. ich habe mir HijackThis nochmal runtergeladen, in einen extra Ordner, und habe es in This.exe umbenannt.
3. ich habe combo fix durchlaufen lassen.

Die Logfiles sehen jetzt so aus:

COMBO FIX:

ComboFix 08-07-02.5 - ***2008-07-03 13:26:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.475 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\Progis\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\ShoppingReport
C:\WINDOWS\cookies.ini
C:\WINDOWS\epnv.exe
C:\WINDOWS\hosts
C:\WINDOWS\system32\egxlcbms.ini
C:\WINDOWS\system32\lkjiQqss.ini
C:\WINDOWS\system32\lkjiQqss.ini2
C:\WINDOWS\system32\ssqQijkl.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-02 22:10 . 2008-07-02 22:10 318,720 --a------ C:\WINDOWS\system32\ssqQijkl.VIR
2008-07-02 22:00 . 2008-07-02 22:00 28,288 --a------ C:\WINDOWS\system32\xxyvTlkK.dll
2008-07-02 21:59 . 2008-07-02 18:30 229,376 --a------ C:\WINDOWS\okmdepgb.dll
2008-07-02 21:59 . 2008-07-02 18:30 180,224 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-02 21:59 . 2008-07-02 18:30 155,648 --a------ C:\WINDOWS\nqgpedlr.dll
2008-07-02 21:59 . 2008-07-02 18:30 86,016 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-06-18 17:46 . 2008-06-18 17:46 <DIR> d-------- C:\Programme\Avira
2008-06-15 13:55 . 2008-06-15 13:55 1,144 --a------ C:\WINDOWS\mozver.dat
2008-06-15 13:50 . 2008-06-15 13:50 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-11 13:39 . 2008-06-11 14:15 <DIR> d-------- C:\Programme\Google
2008-06-11 01:57 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 00:33 . 2008-05-23 00:22 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:33 . 2008-05-23 00:22 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-06-11 00:33 . 2008-05-23 00:22 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-06-09 18:09 . 2008-06-18 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-09 18:01 . 2008-06-09 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-06-03 19:01 . 2008-06-03 19:01 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-06-03 19:01 . 2008-06-03 19:01 <DIR> d-------- C:\Programme\Veoh Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 09:10 --------- d-----w C:\Programme\eMule
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:33 --------- d-----w C:\Programme\DivX
2008-06-09 15:46 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-06-03 17:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-29 17:16 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVGTOOLBAR
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:22 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-22 22:22 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 06:56 672,256 ----a-w C:\WINDOWS\system32\wininet.dll
2006-02-11 11:26 79,040 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
2006-11-05 14:35 8 --sh--r C:\WINDOWS\system32\3ECF6C3BC7.sys
2006-11-05 14:35 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1EB4BF0F-852F-4B75-B8FB-21EDAF9DC3C8}]
2008-07-02 22:00 28288 --a------ C:\WINDOWS\SYSTEM32\xxyvTlkK.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Echo Control"="C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 16:47 147456]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 12:38 49152]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 10:01 28675]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{1EB4BF0F-852F-4B75-B8FB-21EDAF9DC3C8}"= "C:\WINDOWS\SYSTEM32\xxyvTlkK.dll" [2008-07-02 22:00 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvTlkK]
2008-07-02 22:00 28288 C:\WINDOWS\system32\xxyvTlkK.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= dvacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SpyAxe"=C:\Programme\SpyAxe\spyaxe.exe /h
"SpyBlocker"=C:\Programme\SpyBlocker Software\spyblocker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ScanSoft\\OmniPageSE\\EregGer\\NAVBrowser.exe"=
"C:\\Programme\\Canon\\CanoScan Toolbox Ver4.1\\CSTBox.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2004-11-16 19:53]
S3 avgntdd;avgntdd;C:\Programme\AVPersonal\AVGNTDD.SYS []
S3 DCamUSBSTK014;STK014 Camera;C:\WINDOWS\system32\DRIVERS\STK014W2.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81c16dd4-e7e7-11da-a858-0010dcfa7727}]
\Shell\AutoRun\command - autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{97cb7f59-5776-11d9-a495-0010dcfa7727}]
\Shell\AutoRun\command - F:\Setup.exe

.
- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-ALUAlert - C:\Programme\Symantec\LiveUpdate\ALUNotify.exe
HKU-Default-Run-ATI VIDEO REGKEY - ati2vid.exe
HKU-Default-Run-$WindowsRegKey%update - IEXPLORE.EXE
HKU-Default-Run-Micro Update - dailin.exe
HKU-Default-Run-Microsoft Update Machine - winupdt.exe
HKU-Default-Run-Microsoft Update - wuamgrd.exe
SharedTaskScheduler-{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72} - C:\WINDOWS\system32\svchosts.dll
MSConfigStartUp-$WindowsRegKey%update - IEXPLORE.EXE


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 13:44:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\xxyvTlkK.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 13:58:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 11:58:06

11 Verzeichnis(se), 22,405,804,032 Bytes frei
14 Verzeichnis(se), 23,698,006,016 Bytes frei

180 --- E O F --- 2008-06-20 19:10:48



HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 13:59:03, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Progis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {1EB4BF0F-852F-4B75-B8FB-21EDAF9DC3C8} - C:\WINDOWS\SYSTEM32\xxyvTlkK.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyvTlkK - C:\WINDOWS\SYSTEM32\xxyvTlkK.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe


(die roten Einträge hier sind jene, von denen ich denke, dass sie noch zum Trojaner gehören aber ich bin mir nicht sicher....


Ich danke Euch schonmal für Eure Hilfe

LG
Cherry Dragon

Hi und

Bitte verwende für das HijackThis Logfile die neust Version (meinen Link benutzen)

Bitte folgende Dateien bei VirusTotal hochladen und das Ergebnis posten:

Zitat:

C:\WINDOWS\system32\ssqQijkl.VIR
C:\WINDOWS\system32\xxyvTlkK.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\system32\pxafs.dll

Bitte lass auch (bevor du die Dateien hochlädst) Malwarebytes laufen, lass alles löschen und poste den Report

Hi!

Ich geb mal was zum besten!

Ich hatte mir mal Testweise einen VUNDO auf VMWare geladen um zu schauen, was der so macht....

Und ich hab den da nicht mehr runter bekommen!

Der war überall....Registry....im System....einfach überall!

Teilweise hat man ihn löschen können....aber der war nach nem reset immer wieder da....musste das VMWare Image neu aufspielen....

Oder vieleicht hab ich auch nicht die richtigen Programme benutzt!

Gruss BIOTEC

Zitat:

Zitat von BIOTEC

Oder vieleicht hab ich auch nicht die richtigen Programme benutzt!

Das wird das Problem gewesen sein

Nur so aus Neugier... Wie bist du bei der Entfernung vorgegangen?? Welche Tools hast du benutzt?? Wusstest du was du tust??
Schreib mir doch per PN.... Dann kann ich dir vlt. auch erklären warum du's nicht geschafft hast

@CherryDragon



Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\svchosts.dll

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1EB4BF0F-852F-4B75-B8FB-21EDAF9DC3C8}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvTlkK]
[-hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]



FILE::
C:\WINDOWS\system32\ssqQijkl.VIR
C:\WINDOWS\system32\xxyvTlkK.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\mrvtdpqe.exe
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Danke für die vielen Anweisungen und Tipps

habe jetzt als erstes Malwarebytes laufen lassen, der Log sieht jetzt so aus:


Malwarebytes' Anti-Malware 1.19
Datenbank Version: 918
Windows 5.1.2600 Service Pack 2

21:20:39 03.07.2008
mbam-log-7-3-2008 (21-20-39).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 154270
Scan Dauer: 58 minute(s), 47 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\xxyvTlkK.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{8cba1b49-8144-4721-a7b1-64c578c9eed7} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1eb4bf0f-852f-4b75-b8fb-21edaf9dc3c8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1eb4bf0f-852f-4b75-b8fb-21edaf9dc3c8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvtlkk (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{02bfd7dc-ab51-4b70-bd6b-d803566f6c17} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec4a1cf6-ae63-45c3-b7c7-e427da6cbfd9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.bvqs (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1eb4bf0f-852f-4b75-b8fb-21edaf9dc3c8} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\epnv.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{15A088B7-3141-4EA6-8224-FC559873DC76}\RP2\A0000005.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{15A088B7-3141-4EA6-8224-FC559873DC76}\RP2\A0000011.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyvTlkK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\okmdepgb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\nqgpedlr.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mrvtdpqe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\axrfgvek.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.



Mit der von trojan-death genannten Version von Hijack ergab das danach im Scan folgende Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:38, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 5526 bytes



Im Anschluss daran habe ich bei Virus Total alles hochgeladen was Ihr mir genannt habt, und vor allem was noch übrig war, bis auf eins war dann nämlich alles weg; Ergebnis:

C:\WINDOWS\system32\pxafs.dll

Die Datei wurde bereits analysiert:
MD5: 21fe7efa3039632434953955f3bdb235
First received: -
Datum 2008.06.25 16:16:35 (CET) [>8D]
Ergebnisse 0/33
Permalink: analisis/24365f666d2caa7892f8379425e038f5


Datei pxafs.dll empfangen 2008.07.03 21:40:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 45 und 64 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.4.0 2008.07.03 -
AntiVir 7.8.0.64 2008.07.03 -
Authentium 5.1.0.4 2008.07.03 -
Avast 4.8.1195.0 2008.07.03 -
AVG 7.5.0.516 2008.07.03 -
BitDefender 7.2 2008.07.03 -
CAT-QuickHeal 9.50 2008.07.03 -
ClamAV 0.93.1 2008.07.03 -
DrWeb 4.44.0.09170 2008.07.03 -
eSafe 7.0.17.0 2008.07.03 -
eTrust-Vet 31.6.5922 2008.07.02 -
Ewido 4.0 2008.07.03 -
F-Prot 4.4.4.56 2008.07.03 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.03 -
GData 2.0.7306.1023 2008.07.03 -
Ikarus T3.1.1.26.0 2008.07.03 -
Kaspersky 7.0.0.125 2008.07.03 -
McAfee 5331 2008.07.03 -
Microsoft 1.3704 2008.07.03 -
NOD32v2 3239 2008.07.03 -
Norman 5.80.02 2008.07.03 -
Panda 9.0.0.4 2008.07.03 -
Prevx1 V2 2008.07.03 -
Rising 20.51.32.00 2008.07.03 -
Sophos 4.30.0 2008.07.03 -
Sunbelt 3.1.1509.1 2008.07.03 -
Symantec 10 2008.07.03 -
TheHacker 6.2.96.369 2008.07.03 -
TrendMicro 8.700.0.1004 2008.07.03 -
VBA32 3.12.6.8 2008.07.03 -
VirusBuster 4.5.11.0 2008.07.03 -
Webwasher-Gateway 6.6.2 2008.07.03 -
weitere Informationen
File size: 129784 bytes
MD5...: 21fe7efa3039632434953955f3bdb235
SHA1..: 224526fd9afefa13587f1083c719b450897f5d07
SHA256: f4a9ce0ec7a43390761283d037c3cd2996a195b10c65d32a115f58e90814a28b
SHA512: d01496409e36589df2c9260597ecd3047ef24e7c911e530ab295ae1774122008
8a327d6c16b01a4f5eca61922e9556d87b005e81c5974cf26e978ae891b57a0c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100066c7
timedatestamp.....: 0x46143713 (Wed Apr 04 23:38:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc644 0xd000 6.49 0de8f4d2c27983b8df91bf17d075b89a
.rdata 0xe000 0xbbce 0xc000 5.36 ef0ff8d5c466c123cdcdfb4e3fab3e2e
.data 0x1a000 0x26fc 0x1000 2.10 84237bec3371e7813abe90f040f2310f
.rsrc 0x1d000 0x378 0x1000 0.94 0deeebfb1aa9fa03c62cb1aa4d80e448
.reloc 0x1e000 0x1cb2 0x2000 4.77 792274916cf11e841f9c81c86c72d80e

( 3 imports )
> KERNEL32.dll: lstrlenA, FreeLibrary, GetProcAddress, LoadLibraryA, InterlockedDecrement, InterlockedIncrement, WaitForSingleObject, ReleaseMutex, CloseHandle, CreateMutexA, lstrlenW, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, CreateFileA, OpenFileMappingA, GetTempPathA, GetCurrentProcessId, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, EnterCriticalSection, InterlockedExchange, ExitProcess, RtlUnwind, RaiseException, GetLastError, DeleteFileW, GetCurrentThreadId, GetCommandLineA, HeapAlloc, HeapFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetModuleFileNameA, TlsAlloc, SetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, SetUnhandledExceptionFilter, HeapReAlloc, TerminateProcess, GetCurrentProcess, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, UnhandledExceptionFilter, WriteFile, VirtualAlloc, IsBadWritePtr, VirtualQuery, IsBadReadPtr, IsBadCodePtr, GetOEMCP, GetCPInfo, GetStringTypeA, GetStringTypeW, SetFilePointer, LCMapStringA, LCMapStringW, VirtualProtect, GetSystemInfo, SetStdHandle, FlushFileBuffers
> ADVAPI32.dll: RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> SHELL32.dll: ShellExecuteExA

( 0 exports )



Danach habe ich das Scripting von GC Sunny ausgeführt; hier der Combofix log:

ComboFix 08-07-02.5 - *** 2008-07-03 21:55:41.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.497 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\system32\ssqQijkl.VIR
C:\WINDOWS\system32\xxyvTlkK.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 17:08 . 2008-07-03 17:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-03 17:08 . 2008-07-03 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-07-03 17:08 . 2008-07-03 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-03 17:08 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-03 17:08 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-03 17:05 . 2008-07-03 17:05 <DIR> d-------- C:\Programme\Trend Micro
2008-06-18 17:46 . 2008-06-18 17:46 <DIR> d-------- C:\Programme\Avira
2008-06-15 13:55 . 2008-06-15 13:55 1,144 --a------ C:\WINDOWS\mozver.dat
2008-06-15 13:50 . 2008-06-15 13:50 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-11 01:57 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 00:33 . 2008-05-23 00:22 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:33 . 2008-05-23 00:22 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-06-11 00:33 . 2008-05-23 00:22 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-06-09 18:09 . 2008-06-18 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-09 18:01 . 2008-06-09 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-06-03 19:01 . 2008-06-03 19:01 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-06-03 19:01 . 2008-06-03 19:01 <DIR> d-------- C:\Programme\Veoh Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 09:10 --------- d-----w C:\Programme\eMule
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:33 --------- d-----w C:\Programme\DivX
2008-06-09 15:46 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-06-03 17:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-29 17:16 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVGTOOLBAR
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:22 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-22 22:22 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 06:56 672,256 ----a-w C:\WINDOWS\system32\wininet.dll
2006-02-11 11:26 79,040 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
2006-11-05 14:35 8 --sh--r C:\WINDOWS\system32\3ECF6C3BC7.sys
2006-11-05 14:35 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-03_13.57.29.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-03 11:42:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-03 19:23:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Echo Control"="C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 16:47 147456]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"Omnipage"="C:\Programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 12:38 49152]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-02-21 10:01 28675]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= dvacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SpyAxe"=C:\Programme\SpyAxe\spyaxe.exe /h
"SpyBlocker"=C:\Programme\SpyBlocker Software\spyblocker.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ScanSoft\\OmniPageSE\\EregGer\\NAVBrowser.exe"=
"C:\\Programme\\Canon\\CanoScan Toolbox Ver4.1\\CSTBox.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

R1 SSHDRV75;SSHDRV75;C:\WINDOWS\system32\drivers\SSHDRV75.sys [2004-11-16 19:53]
S3 avgntdd;avgntdd;C:\Programme\AVPersonal\AVGNTDD.SYS []
S3 DCamUSBSTK014;STK014 Camera;C:\WINDOWS\system32\DRIVERS\STK014W2.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81c16dd4-e7e7-11da-a858-0010dcfa7727}]
\Shell\AutoRun\command - autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{97cb7f59-5776-11d9-a495-0010dcfa7727}]
\Shell\AutoRun\command - F:\Setup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 22:01:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 22:05:08
ComboFix-quarantined-files.txt 2008-07-03 20:04:04
ComboFix2.txt 2008-07-03 11:58:15

11 Verzeichnis(se), 23,782,862,848 Bytes frei
14 Verzeichnis(se), 23,770,161,152 Bytes frei

141 --- E O F --- 2008-06-20 19:10:48



Ich glaube das blöde Ding ist jetzt endlich weg, oder was meint Ihr?
VIELEN VIELEN DANK auf jeden Fall schonmal für Eure Hilfe
Ihr seid echt SUPERKLASSE