Virtumonde entfernen

fab_babz · 14.08.2008, 21:45

Ich hab Virtumonde auf dem System (Win XP, SP2) und schon folgende Programme im abgesicherten Modus ausgeführt:

AntiVir (aktuelles Update)
AntiSpybot (aktuelles Update)
VUndofix.exe
Virtumondefix.exe
VirtumondeBeGone.exe
Adaware
VxVMonde.exe

Virtumonde läßt sich entfernen, wird aber nach Neustart im AntiSpybot immer wieder angezeigt als Virtumonde.prx, Virtumonde.
Außerdem "Doubleclick" und "Statcounter" - Tracking Cookies.

Bitte um Hilfe um den Trojaner permanent zu entfernen
Danke!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:26, on 14.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.1:3128
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM437a5b7f] Rundll32.exe "C:\WINDOWS\system32\rkehdkyy.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-3101801021-2854085240-1009185070-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158142419967
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1831E09-0FE4-4631-9F9F-AA6017A2F62C}: NameServer = 10.0.0.2,10.0.0.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = int.campus-sbg.at
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4464 bytes

undoreal · 15.08.2008, 21:32

Halli hallo fab_babz

Deinstalliere bitte zu erst Spybot und AdAware sowie AntiSpybot!

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
XP_ dingens.org
Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP_ Firewall
Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Danach!:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Dann konfiguriere AntiVir aggressiv, wechsel in den abgesicherten Modeus und führe dort einen Vollscan durch.
Poste anschließend das log.

So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

fab_babz · 16.08.2008, 16:34

Hallo und danke für die schnelle Antwort.

Hab alles erledigt außer Windows Updates

Der Automatische Updates-Dienst lässt sich nicht aktivieren mit der Meldung
"Es fehlt erforderliche Datei in der Registrierung oder in Registrierung kann nicht geschrieben werden".

Vorher hatte ich Fehler 1058, hab folgendes probiert:
Microsoft-Lösung: (Profil aktiviert),
Intelligenter Hintergrundübertragungsdienst und Remoteprozeduraufruf gestartet; ->kein Erfolg
Danach Dial-a-Fix verwendet. Seitdem die Meldung "Es fehlt ...Datei.."

help plz

danke

fab_babz · 17.08.2008, 13:31

ComboFixLog:

ComboFix 08-08-16.01 - Benutzername 2008-08-17 12:24:05.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811135722027.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811142107762.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080811222156869.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812075731035.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080812123534679.log
C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\BM437a5b7f.txt
C:\WINDOWS\BM437a5b7f.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\CKjllnmp.ini
C:\WINDOWS\system32\CKjllnmp.ini2
C:\WINDOWS\system32\csomnkte.exe
C:\WINDOWS\system32\lphcr5lj0ej51.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oekuel.dll
C:\WINDOWS\system32\pmnlljKC.dll
C:\WINDOWS\system32\portojwa.dll
C:\WINDOWS\system32\psvkyahb.exe
C:\WINDOWS\system32\qrsnswoa.ini
C:\WINDOWS\system32\qveoodge.dll
C:\WINDOWS\system32\rkcsyvtg.ini
C:\WINDOWS\system32\rkehdkyy.dll
C:\WINDOWS\system32\tbfoikcu.dll
C:\WINDOWS\system32\uckiofbt.ini
C:\WINDOWS\system32\wasonxcr.exe
C:\WINDOWS\system32\winoqx32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 ))))))))))))))))))))))))))))))
.

2008-08-16 16:45 . 2008-08-16 16:46 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-08-16 16:08 . 2008-08-16 16:08 <DIR> d-------- C:\Programme\CONEXANT
2008-08-16 16:08 . 2003-03-13 14:15 1,106,944 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys
2008-08-16 16:08 . 2003-03-13 14:17 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys
2008-08-16 16:08 . 2003-03-14 16:22 256,267 -ra------ C:\WINDOWS\system32\drivers\Snyunif.cty
2008-08-16 16:08 . 2003-03-13 14:19 159,488 -ra------ C:\WINDOWS\system32\drivers\HSFHWVIA.sys
2008-08-16 16:08 . 2002-12-11 09:49 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll
2008-08-16 16:08 . 2002-10-29 18:33 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll
2008-08-16 16:08 . 2002-12-11 11:22 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-16 15:51 . 2008-08-16 15:51 <DIR> d-------- C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Netscape
2008-08-16 15:47 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-16 15:38 . 2008-08-16 15:40 <DIR> d-------- C:\Programme\QuickTime
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-16 15:35 . 2008-08-16 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-16 15:18 . 2008-08-16 15:18 <DIR> d-------- C:\Programme\Secunia
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Programme\Avira
2008-08-15 15:52 . 2008-08-15 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-14 22:06 . 2008-08-14 22:06 <DIR> d-------- C:\Programme\Trend Micro
2008-08-14 11:48 . 2008-08-14 11:48 <DIR> d-------- C:\VundoFix Backups
2008-08-13 10:17 . 2008-08-13 10:17 268 --ah----- C:\sqmdata00.sqm
2008-08-13 10:17 . 2008-08-13 10:17 244 --ah----- C:\sqmnoopt00.sqm
2008-08-12 12:40 . 2008-08-12 12:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-12 08:36 . 2008-08-13 14:01 546 --a------ C:\WINDOWS\wininit.ini
2008-08-11 13:57 . 2008-08-12 14:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-11 13:46 . 2008-08-11 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-08-11 13:41 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2008-08-11 13:40 . 2008-08-14 22:28 <DIR> d-------- C:\Programme\Macromedia
2008-08-06 11:32 . 2008-08-06 11:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 13:51 --------- d-----w C:\Programme\Netscape
2008-08-16 13:47 --------- d-----w C:\Programme\Opera
2008-08-16 13:47 --------- d-----w C:\Programme\Java
2008-08-16 13:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-16 13:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-16 13:13 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-16 13:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-14 20:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-14 09:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-13 08:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-23 11:17 --------- d-----w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\OpenOffice.org2
2008-06-26 07:20 --------- d-----w C:\Programme\Dana
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\NSUninst.exe
2008-06-08 15:14 87,184 ----a-w C:\WINDOWS\GREUninstall.exe
2008-05-26 11:12 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-05-26 11:12 249,856 ------w C:\WINDOWS\Setup1.exe
2007-07-31 14:32 71,280 ----a-w C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2001-02-08 12:52 24,576 --sha-w C:\WINDOWS\system32\comsysh.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk
backup=C:\WINDOWS\pss\Kodak software updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Benutzername^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2003-02-27 10:04 114688 C:\Programme\Apoint\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
--a------ 2007-05-10 13:01 598920 C:\Programme\CCleaner\ccleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 09:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2006-05-22 14:26 694272 C:\Programme\dvd43\DVD43_Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px]
--a------ 2002-08-20 10:29 40960 C:\WINDOWS\system32\ezSP_Px.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch]
--a------ 2003-06-24 12:09 568096 C:\Programme\Netscape\Netscape\Netscp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-12-08 17:35 32768 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2004-10-26 15:46 11294376 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]
--a------ 2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2002-11-08 13:25 372736 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=3 (0x3)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=3 (0x3)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=3 (0x3)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=3 (0x3)
"PlugPlay"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=2 (0x2)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"MDM"=2 (0x2)
"Macromedia Licensing Service"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"ImapiService"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=3 (0x3)
"dmserver"=2 (0x2)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=2 (0x2)
"AudioSrv"=2 (0x2)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
Notify-winoqx32 - winoqx32.dll
MSConfigStartUp-404968e3 - C:\WINDOWS\system32\tbfoikcu.dll
MSConfigStartUp-ANIWZCS2Service - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
MSConfigStartUp-BM437a5b7f - C:\WINDOWS\system32\qveoodge.dll
MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-InCD - C:\Programme\Ahead\InCD\InCD.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-lphcr5lj0ej51 - C:\WINDOWS\system32\lphcr5lj0ej51.exe
MSConfigStartUp-MeMediaSetup - C:\Programme\MeMediaSetup\MeMediaSetup.exe
MSConfigStartUp-MMAgent - C:\Programme\Mobile Master\MMAgent.exe
MSConfigStartUp-NeroFilterCheck - C:\WINDOWS\system32\NeroCheck.exe
MSConfigStartUp-SpybotSD TeaTimer - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SpyHunter Security Suite - C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
MSConfigStartUp-uTorrent - C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\utorrent.exe
MSConfigStartUp-WLAN CARD WLAN Monitor - C:\Programme\WLAN CARD\WLANmon.exe

.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\zbcmv3mn.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 12:31:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-17 12:37:30 - PC wurde neu gestartet [Benutzername]
ComboFix-quarantined-files.txt 2008-08-17 10:37:26

Pre-Run: 7,192,281,088 Bytes frei
Post-Run: 7,109,824,512 Bytes frei

288 --- E O F --- 2008-07-09 08:01:16

fab_babz · 17.08.2008, 13:33

Antivir Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. August 2008 12:59

Es wird nach 1559120 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Benutzername
Computername: SUSI

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 14:14:53
ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16.08.2008 14:14:53
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 16.08.2008 14:14:59
AESCN.DLL : 8.1.0.23 119156 Bytes 16.08.2008 14:14:58
AERDL.DLL : 8.1.0.20 418165 Bytes 09.07.2008 08:38:31
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.08.2008 14:14:58
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 16.08.2008 14:14:57
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 16.08.2008 14:14:56
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.35 315764 Bytes 16.08.2008 14:14:55
AEEMU.DLL : 8.1.0.7 430452 Bytes 16.08.2008 14:14:55
AECORE.DLL : 8.1.1.8 172406 Bytes 16.08.2008 14:14:54
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 16.08.2008 14:14:54
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 17. August 2008 12:59

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '43' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d052d.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f0536.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 327882R2FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
--> 327882R2FWJFW\pv.cfexe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150590.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde_fix.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a058d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b059d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails Liane 1999\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100591.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Noch was Nettes!!!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b05a2.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\BK ändern erlaubt\Liane\Emails London\Outgoing\Schreck dich nicht!.eml
[0] Archivtyp: MIME
--> Caiforni .exe
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Wobbling
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49100597.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Desktop\Virtumonde entfernen (Trojaner)\VirtumundoBeGone.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Processor
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a082d.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\1506178499525-001.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d807f9.qua' verschoben!
C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien\Soc Psych\mystery audio\boccaccio_decamerone_16.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490b083d.qua' verschoben!
C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig708\DEU_\Data1.cab
[0] Archivtyp: CAB (Microsoft)
--> VDK10.SYD
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\Movie Maker\sample.asf
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cbf.qua' verschoben!
C:\Programme\Movie Maker\sample.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49150cc0.qua' verschoben!
C:\Programme\ParentsFriend\pfadmin.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49090d9d.qua' verschoben!
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe.vir
[FUND] Enthält Erkennungsmuster des SPR/Fake.AntSpyWa-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48da0e9f.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\oekuel.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49130e93.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnlljKC.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9c.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\portojwa.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0e9e.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\qveoodge.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0ea6.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\rkehdkyy.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490d0e9b.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\tbfoikcu.dll.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490e0e92.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\winoqx32.dll.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.FraudLoad.vayi
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49160e9a.qua' verschoben!
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491a0ea0.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4918115e.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49141154.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491d1165.qua' verschoben!
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922115a.qua' verschoben!
C:\WINDOWS\system32\Comclg32.dll
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49151482.qua' verschoben!
C:\WINDOWS\system32\winadmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ec.qua' verschoben!
C:\WINDOWS\system32\winadmkill.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/ParentsFriend.7004.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491614ed.qua' verschoben!
C:\WINDOWS\system32\oobe\images\title.wma
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491c1581.qua' verschoben!
Beginne mit der Suche in 'D:\' <VAIO>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Sicherung handy\audio\ringtones\3 Mia - Tanz Der Molekuele (Album Version).mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f515aa.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut ganz.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615fe.qua' verschoben!
D:\Sicherung handy\music\Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491615ff.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 Annabelle laut geschnitten.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c2.qua' verschoben!
D:\Sicherung handy\music\Unbekannter Interpret\Unbekanntes Album\01 No23_Record_07 07 2007_00 09 45_.mp3
[FUND] Enthält Erkennungsmuster des SPR/ASF.GetCodec.Gen-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c815c4.qua' verschoben!

Ende des Suchlaufs: Sonntag, 17. August 2008 14:12
Benötigte Zeit: 1:13:14 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6886 Verzeichnisse wurden überprüft
471850 Dateien wurden geprüft
40 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
37 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
471807 Dateien ohne Befall
7638 Archive wurden durchsucht
3 Warnungen
37 Hinweise

Danke

undoreal · 17.08.2008, 15:26

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\drivers\Snyunif.cty
C:\WINDOWS\system32\comsysh.exe
C:\Programme\Uninstall_CDS.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Virtumonde entfernen

Log-Analyse und Auswertung: Virtumonde entfernen