Virtumonde, Virus Alert, verschwundenes C-Laufwerk u.a.

doppelNull · 11.07.2008, 20:19

Hallo,

reihe mich ein in die lange Liste von Betroffenen. Habe seit gestern Virtumonde auf dem Rechner mit folgenden "Nebenwirkungen":
- ständige Popups
- Einträge im Startmenü und Taskleiste waren weg (habe sie teilweise wieder hergestellt)
- neben der Uhrzeit steht "VIRUS ALERT!"
- Icons auf dem Desktop fehlen, dafür waren andere da (habe ich gelöscht)
- im Explorer bekomme ich meine Systempartition C:\ nicht angezeigt
- automatische Updates lassen sich im Windows-Sicherheitscenter nicht mehr aktivieren
- Spybot S&D und Adaware helfen nicht.
Wahrscheinlich ist es noch mehr und ich habe es noch nicht bemerkt.

Habe eure Hinweise in Bezug auf CCleaner und Combofix gelesen. Sollte ich das auch so ausprobieren? Bin in solchen Sachen unsicher; möchte mir den Rechner nicht komplett strubbelig machen.

Bitte dringend helfen!

Betriebssystem: Windows XP Prof SP2

myrtille · 11.07.2008, 20:22

Hi,

mach bitte erstmal folgendes:
Smitfraudfix

Bitte gleich den Abschnitt "Reingung" abarbeiten.
Das Log dann hier posten.

lg myrtille

doppelNull · 11.07.2008, 21:09

Hallo,

herzlichen Dank für die prompte Antwort. Habe SmitFraudFix drüber laufen lassen. Jetzt ist zwar mein Hintergrundbild weg, aber dafür taucht mein C-Laufwerk wieder im Explorer auf. Rapport.txt ist 248 kb groß - wird ziemlich lang, wenn ich das alles poste! Habe deshalb an der markierten Stelle einen Schnitt gemacht. Oder braucht ihr den kompletten Log?

SmitFraudFix v2.329

Scan done at 21:33:27,37, 11.07.2008
Run from F:\Installationsdateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
--hier folgen unzählige weitere Adressen--
127.0.0.1 www.richwebplaying.com
127.0.0.1 richwebplaying.com
127.0.0.1 www.updatesantivirus.com
127.0.0.1 updatesantivirus.com
127.0.0.1 www.vipcodec.net
127.0.0.1 vipcodec.net

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{027AED97-3F2B-4C74-BCF9-56BE17AFD5DE}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1A8547EE-0743-4660-BE90-BB390601E366}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7572321E-27FB-42FF-8FCC-8C43B71DA8FB}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{027AED97-3F2B-4C74-BCF9-56BE17AFD5DE}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1A8547EE-0743-4660-BE90-BB390601E366}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7572321E-27FB-42FF-8FCC-8C43B71DA8FB}: NameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{027AED97-3F2B-4C74-BCF9-56BE17AFD5DE}: NameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1A8547EE-0743-4660-BE90-BB390601E366}: NameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7572321E-27FB-42FF-8FCC-8C43B71DA8FB}: NameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Gibt es noch Hoffnung?

LG doppelNull

myrtille · 11.07.2008, 21:23

Hi,

das sieht eigentlich ziemlich gut aus.

Erstell bitte ein Log mit Malwarebytes und lasse alles entfernen, was eventuell noch gefunden wird.

Erstelle danach ein Log mit HijackThis und poste dieses ebenfalls hier.

lg myrtille

doppelNull · 11.07.2008, 22:15

Hallo,

da bin ich wieder. Hier kommen die Log-Files von Malwarebytes und Hijack this:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

22:57:48 11.07.2008
mbam-log-7-11-2008 (22-57-48).txt

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|)
Objekte gescannt: 92074
Scan Dauer: 17 minute(s), 4 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 21

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\awtuRLdb.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\nnnklihg.dll (Backdoor.Agent) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{711a7cae-a244-49ba-8396-e0a2f18f8bd4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{711a7cae-a244-49ba-8396-e0a2f18f8bd4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d263b532-c528-49e5-8bb6-80fa67332c9a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7165223d-d2c9-422b-8126-411b11842b8b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\winsurf.avideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c8494a5-7525-46b3-94c2-2f734eebd48b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{5c8494a5-7525-46b3-94c2-2f734eebd48b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{68bb1169-2020-4738-bcba-6e9e1bbfc304} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{953da2f5-6918-4424-94fc-d21585ccce75} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b8483a1e-e66b-44fa-a0dc-9e07093b17d1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fa268283-f681-4bfd-9a05-44e642777444} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7f1b566d-5901-49f4-b02c-107f17746dc9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4f070868-b61a-4c1e-91ab-54f5ac3d4822} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6cf0a05e-7d6b-4e00-b836-b3f23513657c} (Backdoor.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6cf0a05e-7d6b-4e00-b836-b3f23513657c} (Backdoor.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnklihg (Backdoor.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.btfw (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6cf0a05e-7d6b-4e00-b836-b3f23513657c} (Backdoor.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\awturldb -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awturldb -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\awtuRLdb.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\bdLRutwa.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdLRutwa.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lutxrtaf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fatrxtul.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\wbxdpgfeqod.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\5.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\elvr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pcvxgfim.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yzorrb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnklihg.dll (Backdoor.Agent) -> Delete on reboot.
C:\WINDOWS\system32\efcDWNgG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:03:44, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Ad-Aware 2008\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\lvhidsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\RTHDCPL.EXE
F:\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\MagicRotation\MagicPvt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Typhoon\RecSche.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
F:\Sony Ericsson\Application Launcher\Application Launcher.exe
F:\Adobe Photoshop\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
F:\ActiveSync\WCESCOMM.EXE
C:\Programme\SEC\MagicTune3.6\GammaTray.exe
F:\Logitech\SetPoint\SetPoint.exe
F:\Netgear\wlancfg4.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\SEC\MagicTune3.6\MagicTune.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Sony Ericsson\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {20B82C84-7EE8-4EFF-9BCB-5F6A177F7182} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6CF0A05E-7D6B-4E00-B836-B3F23513657C} - (no file)
O2 - BHO: (no name) - {75AD7988-6B1E-4D9C-8D6D-B239F505BFD1} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {F64FBE62-B13B-45F3-9906-C9CE2AA05BC5} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MagicRotation] C:\Programme\MagicRotation\MagicPvt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RecSche] "f:\Typhoon\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [hpppta] f:\HP\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Sony Ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Adobe Photoshop\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\RealMedia\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Herrnhuter Losungen.LNK = ?
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O4 - Global Startup: MagicTune 3.6.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - f:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186087453828
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{027AED97-3F2B-4C74-BCF9-56BE17AFD5DE}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A8547EE-0743-4660-BE90-BB390601E366}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7572321E-27FB-42FF-8FCC-8C43B71DA8FB}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{027AED97-3F2B-4C74-BCF9-56BE17AFD5DE}: NameServer = 192.168.178.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Ad-Aware 2008\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: NMSAccess - Unknown owner - F:\CDBurnerXP\NMSAccess.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8595 bytes

Jetzt lassen sich auch die automatischen Updates wieder aktivieren. Die Systemwiederherstellung habe ich noch deaktiviert. Was kommt jetzt als nächstes?

LG doppelNull

myrtille · 11.07.2008, 22:30

Hi,
das sieht eigentlich schon gut aus..
Erstelle bitte noch ein log mit DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

11.07.2008, 20:22	#2
myrtille /// TB-Ausbilder	Virtumonde, Virus Alert, verschwundenes C-Laufwerk u.a. Hi, mach bitte erstmal folgendes: Smitfraudfix Bitte gleich den Abschnitt "Reingung" abarbeiten. Das Log dann hier posten. lg myrtille __________________ __________________

Virtumonde, Virus Alert, verschwundenes C-Laufwerk u.a.

Plagegeister aller Art und deren Bekämpfung: Virtumonde, Virus Alert, verschwundenes C-Laufwerk u.a.