Virtumonde entfernen

fab_babz · 14.08.2008, 21:45

Ich hab Virtumonde auf dem System (Win XP, SP2) und schon folgende Programme im abgesicherten Modus ausgeführt:

AntiVir (aktuelles Update)
AntiSpybot (aktuelles Update)
VUndofix.exe
Virtumondefix.exe
VirtumondeBeGone.exe
Adaware
VxVMonde.exe

Virtumonde läßt sich entfernen, wird aber nach Neustart im AntiSpybot immer wieder angezeigt als Virtumonde.prx, Virtumonde.
Außerdem "Doubleclick" und "Statcounter" - Tracking Cookies.

Bitte um Hilfe um den Trojaner permanent zu entfernen
Danke!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:26, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.1:3128
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM437a5b7f] Rundll32.exe "C:\WINDOWS\system32\rkehdkyy.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3101801021-2854085240-1009185070-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158142419967
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1831E09-0FE4-4631-9F9F-AA6017A2F62C}: NameServer = 10.0.0.2,10.0.0.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4464 bytes

undoreal · 15.08.2008, 21:32

Halli hallo fab_babz

Deinstalliere bitte zu erst Spybot und AdAware sowie AntiSpybot!

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Danach!:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Dann konfiguriere AntiVir aggressiv, wechsel in den abgesicherten Modeus und führe dort einen Vollscan durch.
Poste anschließend das log.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

fab_babz · 16.08.2008, 16:34

Hallo und danke für die schnelle Antwort.

Hab alles erledigt außer Windows Updates

Der Automatische Updates-Dienst lässt sich nicht aktivieren mit der Meldung
"Es fehlt erforderliche Datei in der Registrierung oder in Registrierung kann nicht geschrieben werden".

Vorher hatte ich Fehler 1058, hab folgendes probiert:
Microsoft-Lösung: (Profil aktiviert),
Intelligenter Hintergrundübertragungsdienst und Remoteprozeduraufruf gestartet; ->kein Erfolg
Danach Dial-a-Fix verwendet. Seitdem die Meldung "Es fehlt ...Datei.."

help plz

danke

fab_babz · 17.08.2008, 13:31

ComboFixLog:

ComboFix 08-08-16.01 - Benutzername 2008-08-17 12:24:05.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811135722027.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811142107762.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811222156869.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812075731035.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812123534679.log
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\BM437a5b7f.txt
C:\WINDOWS\BM437a5b7f.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\CKjllnmp.ini
C:\WINDOWS\system32\CKjllnmp.ini2
C:\WINDOWS\system32\csomnkte.exe
C:\WINDOWS\system32\lphcr5lj0ej51.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oekuel.dll
C:\WINDOWS\system32\pmnlljKC.dll
C:\WINDOWS\system32\portojwa.dll
C:\WINDOWS\system32\psvkyahb.exe
C:\WINDOWS\system32\qrsnswoa.ini
C:\WINDOWS\system32\qveoodge.dll
C:\WINDOWS\system32\rkcsyvtg.ini
C:\WINDOWS\system32\rkehdkyy.dll
C:\WINDOWS\system32\tbfoikcu.dll
C:\WINDOWS\system32\uckiofbt.ini
C:\WINDOWS\system32\wasonxcr.exe
C:\WINDOWS\system32\winoqx32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 ))))))))))))))))))))))))))))))
.

2008-08-16 16:45 . 2008-08-16 16:46 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-08-16 16:08 . 2008-08-16 16:08 <DIR> d-------- C:\Programme\CONEXANT
2008-08-16 16:08 . 2003-03-13 14:15 1,106,944 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys
2008-08-16 16:08 . 2003-03-13 14:17 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys
2008-08-16 16:08 . 2003-03-14 16:22 256,267 -ra------ C:\WINDOWS\system32\drivers\Snyunif.cty
2008-08-16 16:08 . 2003-03-13 14:19 159,488 -ra------ C:\WINDOWS\system32\drivers\HSFHWVIA.sys
2008-08-16 16:08 . 2002-12-11 09:49 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll
2008-08-16 16:08 . 2002-10-29 18:33 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll
2008-08-16 16:08 . 2002-12-11 11:22 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-16 15:51 . 2008-08-16 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Netscape
2008-08-16 15:47 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-16 15:38 . 2008-08-16 15:40 <DIR> d-------- C:\Programme\QuickTime
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-16 15:18 . 2008-08-16 15:18 <DIR> d-------- C:\Programme\Secunia
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Programme\Avira
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-14 22:06 . 2008-08-14 22:06 <DIR> d-------- C:\Programme\Trend Micro
2008-08-14 11:48 . 2008-08-14 11:48 <DIR> d-------- C:\VundoFix Backups
2008-08-13 10:17 . 2008-08-13 10:17 268 --ah----- C:\sqmdata00.sqm
2008-08-13 10:17 . 2008-08-13 10:17 244 --ah----- C:\sqmnoopt00.sqm
2008-08-12 12:40 . 2008-08-12 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-12 08:36 . 2008-08-13 14:01 546 --a------ C:\WINDOWS\wininit.ini
2008-08-11 13:57 . 2008-08-12 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-11 13:46 . 2008-08-11 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-08-11 13:41 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-08-11 13:40 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Macromedia
2008-08-06 11:32 . 2008-08-06 11:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 13:51 --------- d-----w C:\Programme\Netscape
2008-08-16 13:47 --------- d-----w C:\Programme\Opera
2008-08-16 13:47 --------- d-----w C:\Programme\Java
2008-08-16 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-16 13:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-16 13:13 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-16 13:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-14 20:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-14 09:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-13 08:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-23 11:17 --------- d-----w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\OpenOffice.org2
2008-06-26 07:20 --------- d-----w C:\Programme\Dana
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\NSUninst.exe
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\GREUninstall.exe
2008-05-26 11:12 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-26 11:12 249,856 ------w C:\WINDOWS\Setup1.exe
2007-07-31 14:32 71,280 ----a-w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2001-02-08 12:52 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Benutzername^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2003-02-27 10:04 114688 C:\Programme\Apoint\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
--a------ 2007-05-10 13:01 598920 C:\Programme\CCleaner\ccleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2006-05-22 14:26 694272 C:\Programme\dvd43\DVD43_Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px]
--a------ 2002-08-20 10:29 40960 C:\WINDOWS\system32\ezSP_Px.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch]
--a------ 2003-06-24 12:09 568096 C:\Programme\Netscape\Netscape\Netscp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-12-08 17:35 32768 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2004-10-26 15:46 11294376 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]
--a------ 2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2002-11-08 13:25 372736 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=3 (0x3)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=3 (0x3)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=3 (0x3)
"PlugPlay"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=2 (0x2)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"MDM"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"ImapiService"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=3 (0x3)
"dmserver"=2 (0x2)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=2 (0x2)
"AudioSrv"=2 (0x2)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
Notify-winoqx32 - winoqx32.dll
MSConfigStartUp-404968e3 - C:\WINDOWS\system32\tbfoikcu.dll
MSConfigStartUp-ANIWZCS2Service - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
MSConfigStartUp-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-InCD - C:\Programme\Ahead\InCD\InCD.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-lphcr5lj0ej51 - C:\WINDOWS\system32\lphcr5lj0ej51.exe
MSConfigStartUp-MeMediaSetup - C:\Programme\MeMediaSetup\MeMediaSetup.exe
MSConfigStartUp-MMAgent - C:\Programme\Mobile Master\MMAgent.exe
MSConfigStartUp-NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe
MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SpyHunter Security Suite - C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
MSConfigStartUp-uTorrent - C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\utorrent.exe
MSConfigStartUp-WLAN CARD WLAN Monitor - C:\Programme\WLAN CARD\WLANmon.exe

.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\zbcmv3mn.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 12:31:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17 12:37:30 - PC wurde neu gestartet [Benutzername]
ComboFix-quarantined-files.txt 2008-08-17 10:37:26

Pre-Run: 7,192,281,088 Bytes frei
Post-Run: 7,109,824,512 Bytes frei

288 --- E O F --- 2008-07-09 08:01:16

fab_babz · 17.08.2008, 13:33

Antivir Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008 12:59

Es wird nach 1559120 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Benutzername
Computername: SUSI

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 14:14:53
ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16.08.2008 14:14:53
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 16.08.2008 14:14:59
AESCN.DLL : 8.1.0.23 119156 Bytes 16.08.2008 14:14:58
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.08.2008 14:14:58
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 16.08.2008 14:14:57
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 16.08.2008 14:14:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.35 315764 Bytes 16.08.2008 14:14:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 16.08.2008 14:14:55
AECORE.DLL : 8.1.1.8 172406 Bytes 16.08.2008 14:14:54
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 16.08.2008 14:14:54
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. August 2008 12:59

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '43' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d052d.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f0536.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150590.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde_fix.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a058d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b059d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100591.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b05a2.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100597.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde entfernen (Trojaner)\VirtumundoBeGone.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a082d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\1506178499525-001.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d807f9.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\boccaccio_decamerone_16.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b083d.qua' verschoben!
C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig708\DEU_\Data1.cab
[0] Archivtyp: CAB (Microsoft)
--> VDK10.SYD
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\Movie Maker\sample.asf
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cbf.qua' verschoben!
C:\Programme\Movie Maker\sample.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cc0.qua' verschoben!
C:\Programme\ParentsFriend\pfadmin.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49090d9d.qua' verschoben!
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe.vir
[FUND] Enthält Erkennungsmuster des SPR/Fake.AntSpyWa-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48da0e9f.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\oekuel.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49130e93.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnlljKC.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9c.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\portojwa.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0e9e.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\qveoodge.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0ea6.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\rkehdkyy.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0e9b.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\tbfoikcu.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490e0e92.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\winoqx32.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vayi
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9a.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0ea0.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4918115e.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49141154.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922115a.qua' verschoben!
C:\WINDOWS\system32\Comclg32.dll
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151482.qua' verschoben!
C:\WINDOWS\system32\winadmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ec.qua' verschoben!
C:\WINDOWS\system32\winadmkill.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ed.qua' verschoben!
C:\WINDOWS\system32\oobe\images\title.wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491c1581.qua' verschoben!
Beginne mit der Suche in 'D:\' <VAIO>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Sicherung handy\audio\ringtones\3 Mia - Tanz Der Molekuele (Album Version).mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f515aa.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut ganz.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615fe.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615ff.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c2.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 No23_Record_07 07 2007_00 09 45_.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c4.qua' verschoben!

Ende des Suchlaufs: Sonntag, 17. August 2008 14:12
Benötigte Zeit: 1:13:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6886 Verzeichnisse wurden überprüft
471850 Dateien wurden geprüft
40 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
37 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
471807 Dateien ohne Befall
7638 Archive wurden durchsucht
3 Warnungen
37 Hinweise

Danke

undoreal · 17.08.2008, 15:26

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\drivers\Snyunif.cty
C:\WINDOWS\system32\comsysh.exe
C:\Programme\Uninstall_CDS.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

fab_babz · 18.08.2008, 09:37

Hallo und danke,
hier sind die Scanresultate:

File Snyunif.cty received on 08.18.2008 10:23:07 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3363 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.01.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
Additional information
File size: 256267 bytes
MD5...: 7c6258004aa72afb82728b4f9bf544c3
SHA1..: 84675b907d49b52b22b99b8e49d1845f13aa2e4b
SHA256: 32c3397d4e5bcaf50e3f4fe80dda8c92457409b6f65e410c69bfb763fe32869e
SHA512: 1b3bdb94edfc51dd49398fd0e02b1a205b945f2b7df8d517d3b25c8d2579ba1b
fb5cfbcdcf69d630fb729dd79700ef4a1d0a108d35b58bc3288fde87beac0bd7
PEiD..: -
PEInfo: -

File comsysh.exe received on 08.18.2008 10:25:07 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.18 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3363 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.01.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -
Additional information
File size: 24576 bytes
MD5...: d44f0697e10c4145e8eba37258af29f6
SHA1..: 625070643c6a268b84a2283735ea6c494ecb59c2
SHA256: be9872c877774baec59f8c09cf1841673cac441e3504b1885c901b76ab00d4fc
SHA512: 1af84df310ef87fd01dec67c4c5ea316dcd780f4a99d129bb822c95d4d930a85
ab88eeb65e556406bfda05d70b6a54e9eefec39ea0dc4e5600f4449e0845a3ca
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401320
timedatestamp.....: 0x3a82a484 (Thu Feb 08 13:52:04 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2190 0x3000 4.04 50db773c3e9f028e58772585ef5a62ef
.data 0x4000 0xb80 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x5000 0x8dc 0x1000 1.92 dac60f25e029229fc067e6b7918bf65e

( 1 imports )
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaStrI4, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, _adj_fdiv_m64, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaExitProc, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaFpR4, _CIsin, -, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, DllFunctionCall, _adj_fpatan, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFPException, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaStrToAnsi, __vbaRecDestructAnsi, -, _CIatan, __vbaStrMove, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

File Uninstall_CDS.exe received on 08.03.2008 15:30:45 (CET)
Current status: finished
Result: 0/36 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.08.02 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.02 -
AVG 8.0.0.156 2008.08.02 -
BitDefender 7.2 2008.08.03 -
CAT-QuickHeal 9.50 2008.08.02 -
ClamAV 0.93.1 2008.08.03 -
DrWeb 4.44.0.09170 2008.08.03 -
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.03 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.03 -
Fortinet 3.14.0.0 2008.08.03 -
GData 2.0.7306.1023 2008.08.03 -
Ikarus T3.1.1.34.0 2008.08.03 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.03 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.03 -
NOD32v2 3322 2008.08.03 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.03 -
PCTools 4.4.2.0 2008.08.03 -
Prevx1 V2 2008.08.03 -
Rising 20.55.62.00 2008.08.03 -
Sophos 4.31.0 2008.08.03 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.03 -
TheHacker 6.2.96.392 2008.08.02 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.02 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.02 -
Webwasher-Gateway 6.6.2 2008.08.03 -
Additional information
File size: 40960 bytes
MD5...: ab485c92592a3ee01572910e3cb26243
SHA1..: e745ce993bc829e045ff84fb61a2cf34221ccc9b
SHA256: 31356ad2c96230999e078f747b137a6bcb4105840abcc6b5cdecbee18530bce7
SHA512: 398ab0411aa326e85b48923f59c70b54c01c4747ea554afc11a22e4b9d012b1f
c87f627b76272bdd845b63831bd4addd5468d11cafb391949ce3a162f6e08c57
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401dd0
timedatestamp.....: 0x404ff8b9 (Thu Mar 11 05:27:21 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47d4 0x5000 6.17 d2c028ec6e5dabed76fd60424bb693cc
.rdata 0x6000 0x998 0x1000 3.71 a9b275ffd086301fd91dfe940edf99ab
.data 0x7000 0x221c 0x1000 3.14 2bd2989cee70d2788ce5250e7524abc1
.rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553

( 3 imports )
> KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: SendMessageA, FindWindowA
> ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA

( 0 exports )

undoreal · 18.08.2008, 10:08

Das sieht doch ganz gut aus.. Hast du noch Probleme?

fab_babz · 18.08.2008, 20:21

Hallo,

scheint wieder alles zu passen

Danke Undoreal, ich empfehl euch weiter!

18.08.2008, 10:08	#8
undoreal /// AVZ-Toolkit Guru	Virtumonde entfernen Das sieht doch ganz gut aus.. Hast du noch Probleme? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Virtumonde entfernen

Log-Analyse und Auswertung: Virtumonde entfernen