Hallo zusammen.

Ich hoffe bei meinem zweiten Versuch mach ich`s richtig, bin nämlich alles andere als ein pc profi.

Ich bin von einem Trojaner Namens TR/Vundo.fnr.6 heimgesucht worden. Habe Antivir drüber laufen lassen kann ihn aber nicht löschen. Spybot richtet auch nichts aus. Alle zwei Minuten öffnet sich das Antivir Fenster: Antivir Guard: Achtung Fund, sie haben den Trojaner TR/Vundo.fnr.6 auf ihrem PC. Wie wollen sie vorgehen? Keine der Möglichkeiten, die das Programm anbietet führt zu erfolgen.

Hier der Pfad:

C:\WINDOWS\system32\ddcBQkJy.dll

Zudem öffnen sich im Explorer immer wieder Fenster, die auf einen Virus hinweißen und mögliche Programmme zur Bekämpfung bewerben.

Ich hoffe die Angaben stimmen jetzt soweit.

Hier noch die HijackThis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:01, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Apoint2K\Apntex.exe
D:\Eigene Dateien\audl\software\HiJaTh\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [BMa752c708] Rundll32.exe "C:\WINDOWS\system32\waepsolg.dll",s
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP001.TMP\"
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingC1063] cmd /c del "C:\WINDOWS\system32\ddcBQkJy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3891] command /c del "C:\WINDOWS\system32\waepsolg.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC512] cmd /c del "C:\WINDOWS\system32\waepsolg.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUt il.exe -p
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: hutebi.dll xhccip.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 6088 bytes


Vielen Dank schon mal!!

Edi

Lade folgende dateien bei Virustotal hoch und poste die vollständigen berichte mit MD5 hash in ein Zitat!

Zitat:

C:\WINDOWS\system32\ddcBQkJy.dll
C:\WINDOWS\system32\waepsolg.dll
C:\WINDOWS\system32\waepsolg.dll
C:\WINDOWS\system32\advpack.dll
C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP000.TMP
C:\DOKUME~1\Ich\LOKALE~1\Temp\IXP001.TMP
C:\WINDOWS\system32\waepsolg.dll
C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUt il.exe

Wenn du die berichte von allen dateien gepostet hast scanne mit Malwarebytes Antimalware, poste den bericht und lösche alles was es findet!

Hallo Tayk!

Erstmal danke, dass du dich meiner angenommen hast..

Habe versucht deine Angaben zu befolgen, kann aber auf der Virustotal Seite keine Dateien hochladen, mit dem Button "Durchsuchen" komme ich nicht weiter und kann leider auch nichts selber in das Feld eintippen..

Ich hoffe ich mache nicht einen sau dämlichen Fehler...

Im übrigen, kann ich auch bei meinem Email Programm (gmx) keine Anhänge mehr hochladen (das könnte ja viell. zusammenhängen ???)

Danke schon Mal für deine Hilfe

Grüße Edi

Naja versuchen wirs anderst! Kopiere den ersten pfad! also

Zitat:

C:\WINDOWS\system32\ddcBQkJy.dll

dann gehst du auf virustotal und klickst in das feld wo man reinschreiben kann dann halte die Strg taste gedrücke und drück noch auf V also Strg+V ! Dann auf senden der datei! Vllt funktionierts wenns geht dann lade alle dateien hoch! ich bin jetzt ma kurz weg! ca. ne halbe stunde

Funtioniert leider auch nicht..
So eine sch..

Bin am verzweifeln!

Naja dann überspringen wir das hochladen und scannen gleich mit Malwarebytes !

Vielleicht is einfach alles zu spät!!

Scannen mit Malwarebytes funktioniert nur bedingt..
Nach zehn Minuten Laufzeit habe ich geschätzte 1000 Mal die Meldung:

"Ein Fehler ist aufgetreten, bitte geben Sie den folgenden Fehlercode an das Malwarebytes`Antimalware Support-Team weiter. Error Code: 731 (0, 9)

weggeclickt.

Jetzt habe ich`s erstmal aufgegeben...

Zudem bekomme ich jetzt (auf einmal) dauernd die neue AntiVir Meldung: Das Trojanische Pferd TR/Vundo.RL wurde erkannt. Pfad: C:\WINDOWS\system32\hutebi.dll

Natürlich befürchte ich jetzt das allerschlimmste!

Kann ich noch irgendwas versuchen??

Edi

Hallo edibonedi und nochmal




ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Beende mal Antivir und zieh den stecker fürs inet! Scanne dann mit Malwarebytes! Wahrscheinlich hast du auf Zugriff verweigern geklickt und Mbam konnte nicht weiter scannen! Wenn er dann fertig ist Antivir wieder an und wieder ins inet und hier das log posten!

Edit: Sunny ich hab auch schon an combofix gedacht! Nur darf ich das ja wahrscheinlich nich nutzen Schreib mir ma ne pn dann reden wir darüber

Also Sunny und Tayk

Erst mal Vielen Dank für eure Hilfe!!!!!!!

Ich werde Morgen versuchen alles abzuarbeiten, was ihr gepostet habt..
Heute muss ich leider weg. Ich hoffe wirklich, dass ich weiter komme

Danke Nochmal!

Grüße Edi

Guten Morgen Sunny!

Habe gerade deine Schritte durchgearbeitet..

Combofix hat so wie es scheint schon mal ziemlich aufgeräumt mit dem Saustall.

Bekomme bis jetzt keine Meldung mehr von Antivir.

Hier das log:

Zitat:

ComboFix 08-09-28.05 - Ich 2008-10-01 8:18:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.93 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMa752c708.txt
C:\WINDOWS\BMa752c708.xml
C:\WINDOWS\clofghls.dll
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bwdrmolh.dll
C:\WINDOWS\system32\chsedhnt.dll
C:\WINDOWS\system32\ddcBQkJy.dll
C:\WINDOWS\system32\efajxgme.dll
C:\WINDOWS\system32\hlgawnga.dll
C:\WINDOWS\system32\hutebi.dll
C:\WINDOWS\system32\jgsnyebd.dll
C:\WINDOWS\system32\jlrunotv.dll
C:\WINDOWS\system32\lfjotjlx.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJAqopM.dll
C:\WINDOWS\system32\MpoqAJlm.ini
C:\WINDOWS\system32\MpoqAJlm.ini2
C:\WINDOWS\system32\msupdte.exe
C:\WINDOWS\system32\nwxrdphh.dll
C:\WINDOWS\system32\rfeglgwv.dll
C:\WINDOWS\system32\uovybv.dll
C:\WINDOWS\system32\xhccip.dll
C:\WINDOWS\system32\yesghhjw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 ))))))))))))))))))))))))))))))
.

2008-10-01 08:27 . 2008-10-01 08:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-01 08:27 . 2008-10-01 08:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 07:59 . 2008-10-01 07:59 <DIR> d-------- C:\Programme\CCleaner
2008-09-30 18:03 . 2008-09-30 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Malwarebytes
2008-09-30 18:01 . 2008-09-30 18:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-30 18:01 . 2008-09-30 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-30 18:01 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-30 18:01 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 12:21 . 2008-09-30 12:21 985,477 ---hs---- C:\WINDOWS\system32\hhpdrxwn.ini
2008-09-29 15:14 . 2008-09-29 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-29 11:23 . 2008-09-29 11:23 1,014,205 ---hs---- C:\WINDOWS\system32\agnwaglh.ini
2008-09-28 12:55 . 2008-09-28 12:55 149 --a------ C:\WINDOWS\wininit.ini
2008-09-27 21:33 . 2008-09-27 21:33 1,014,205 ---hs---- C:\WINDOWS\system32\vtonurlj.ini
2008-09-27 15:33 . 2008-09-27 15:33 1,014,205 ---hs---- C:\WINDOWS\system32\snebnesv.ini
2008-09-25 14:49 . 2008-09-25 14:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CANON
2008-09-25 14:44 . 2008-09-25 14:44 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-09-25 14:43 . 2007-04-15 22:00 215,040 --a------ C:\WINDOWS\system32\CNMLM8Z.DLL
2008-09-25 14:42 . 2008-09-25 14:42 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2008-09-25 14:41 . 2008-09-25 14:41 <DIR> d--h----- C:\Programme\CanonBJ
2008-09-25 14:39 . 2008-09-25 14:48 <DIR> d-------- C:\Programme\Canon
2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-25 14:20 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-23 17:30 . 2008-09-23 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Programme\Amazing Adventures Around the World
2008-09-23 16:23 . 2008-09-23 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\SpinTop
2008-09-17 19:24 . 2008-09-17 19:24 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-09-17 19:24 . 2008-09-17 19:35 <DIR> d-------- C:\Programme\Fashion Craze

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 06:32 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Vidalia
2008-10-01 06:31 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\tor
2008-10-01 06:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-29 16:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-28 09:53 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-27 12:25 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-09-25 21:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-18 14:19 --------- d-----w C:\Programme\Winamp
2008-09-18 14:18 --------- d-----w C:\Programme\Buzzy Bumble
2008-08-19 18:23 --------- d-----w C:\Programme\iPod
2008-08-19 16:50 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Gamelab
2008-08-15 15:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Go-Go Gourmet Chef of the Year
2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\PlayFirst
2008-08-09 16:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-08-07 09:34 --------- d-----w C:\Programme\Google
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:16 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-01-09 151552]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-01-09 106496]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2001-08-09 118784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-01-15 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-17 185896]
"CanonSolutionMenu"="C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="C:\Programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=hutebi.dll uovybv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R3 {6D08DE67-D457-4d38-A7F5-D88CCB81EE00};AIM 3.0 NS2501;C:\WINDOWS\system32\drivers\A306.sys [2002-01-15 13881]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f24de60-3008-11dd-af3e-00e000f5cbe3}]
\Shell\AutoRun\command - E:\WD_Windows_Tools\Setup.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{49DAB15E-AF0D-4CD7-B7C7-A5491A29B3B9} - (no file)
BHO-{9F8B1E7F-B572-494C-BCE9-0620585ED318} - C:\WINDOWS\system32\mlJAqopM.dll
BHO-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\ddcBQkJy.dll
BHO-{CADA4648-64AE-4D42-9864-ADB0224216C8} - (no file)
HKLM-Run-BMa752c708 - C:\WINDOWS\system32\chsedhnt.dll
ShellExecuteHooks-{C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\ddcBQkJy.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\f89mhlz9.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1229.1533\npCIDetect11.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.
.
------- File Associations -------
.
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 08:27:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINDOWS\system32\dwwin.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 8:36:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-01 06:35:48

Vor Suchlauf: 1.419.993.088 Bytes frei
Nach Suchlauf: 1,381,183,488 Bytes frei

180 --- E O F --- 2008-09-17 17:56:58

Es haben sich nach dem Neustart allerdings zwei Fenster geöffnet die ich bis jetzt noch nicht kenne..

Im ersten Stand: "Fehler beim Laden von C:\WINDOWS\system32\chsedhnt.dll

Fortsetzung des letzten Eintrags:

Das anegegebene Modul kann nicht gefunden werden.

Im Zweiten Fenster stand:

"System Settings Protector"

system settings protector hat ein Problem festgestellt und muss beendet werden. Falls sie ihre Arbeit noch nicht gespeichert hatten, können Daten mögloicherweiße verloren gegangen sein..


Weiß leider nicht was das alles zu bedeuten hat.

Mir scheint aber, dass der Rechner schon wieder deutlich besser läuft..

Sunny, wie schauen die nächsten Schritte aus??

Ich danke dir echt sakrisch!

Grüße Edi

Die Fehlermeldungen erstmal ignorieren, da kümmern wir uns anschliessend drum.

jetzt folgendes:



Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\CNMLM8Z.DLL
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

REGISTRY::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

FILE::
C:\WINDOWS\system32\hhpdrxwn.ini
C:\WINDOWS\system32\agnwaglh.ini
C:\WINDOWS\system32\vtonurlj.ini
C:\WINDOWS\system32\snebnesv.ini
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)


Wie sieht es dann mit dem System aus, kommen noch Fehlermeldungen?
Oder läuft alles wieder so wie es sollte?!

Hier die Ergebnisse von Virustotal:

Hoffe ich habe es richtig abkopiert!
Datei1:

Zitat:

Datei wininit.ini empfangen 2008.10.01 09:31:42 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.8.1.34 2008.09.30 -
Authentium 5.1.0.4 2008.09.30 -
Avast 4.8.1195.0 2008.09.30 -
AVG 8.0.0.161 2008.09.30 -
DrWeb 4.44.0.09170 2008.10.01 -
Ewido 4.0 2008.09.30 -
F-Secure 8.0.14332.0 2008.10.01 -
Fortinet 3.113.0.0 2008.10.01 -
GData 19 2008.10.01 -
Ikarus T3.1.1.34.0 2008.10.01 -
K7AntiVirus 7.10.478 2008.09.30 -
Kaspersky 7.0.0.125 2008.10.01 -
Microsoft 1.4005 2008.10.01 -
PCTools 4.4.2.0 2008.09.30 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.01 -
VBA32 3.12.8.6 2008.09.30 -
weitere Informationen
File size: 149 bytes
MD5...: 2fd11165c96a888807e1263546356fd8
SHA1..: 6e0f07f920ccdd839ad595bad792f9b9e169c24c
SHA256: 8d321c453c87e3433359a891128961959425291d318fdecae59d0b66ddc1d24e
SHA512: fe724f4ad2cd5c48b0fee96419811bb5c8e3ce49b4c9fe8ef0286a2cbac1dade
1d6a0d1c1f4086209137539023766fb0193fae0ad923c5c2b6166eb3219603c8
PEiD..: -
TrID..: File type identification
file seems to be plain text/ASCII (0.0%)
PEInfo: -

Datei2:

Zitat:

Datei CNMLM8Z.DLL empfangen 2008.10.01 09:34:43 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.1.0 2008.10.01 -
AntiVir 7.8.1.34 2008.09.30 -
Authentium 5.1.0.4 2008.09.30 -
Avast 4.8.1195.0 2008.09.30 -
AVG 8.0.0.161 2008.09.30 -
BitDefender 7.2 2008.10.01 -
CAT-QuickHeal 9.50 2008.10.01 -
ClamAV 0.93.1 2008.10.01 -
DrWeb 4.44.0.09170 2008.10.01 -
eSafe 7.0.17.0 2008.09.30 -
eTrust-Vet 31.6.6119 2008.09.30 -
Ewido 4.0 2008.09.30 -
F-Prot 4.4.4.56 2008.09.30 -
F-Secure 8.0.14332.0 2008.10.01 -
Fortinet 3.113.0.0 2008.10.01 -
GData 19 2008.10.01 -
Ikarus T3.1.1.34.0 2008.10.01 -
K7AntiVirus 7.10.478 2008.09.30 -
Kaspersky 7.0.0.125 2008.10.01 -
McAfee 5395 2008.10.01 -
Microsoft 1.4005 2008.10.01 -
NOD32 3484 2008.09.30 -
Norman 5.80.02 2008.09.30 -
Panda 9.0.0.4 2008.09.30 -
PCTools 4.4.2.0 2008.09.30 -
Prevx1 V2 2008.10.01 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.01 -
Sophos 4.34.0 2008.10.01 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.01 -
TheHacker 6.3.0.9.097 2008.10.01 -
TrendMicro 8.700.0.1004 2008.10.01 -
VBA32 3.12.8.6 2008.09.30 -
ViRobot 2008.10.1.1400 2008.10.01 -
VirusBuster 4.5.11.0 2008.09.30 -
weitere Informationen
File size: 215040 bytes
MD5...: 8a43f48d1fe0fa3f762a72d6d48e81ae
SHA1..: 69904685a789e5a54c11cf8e6758ff65ee75ba4f
SHA256: 5f44fd528f0e11be8932cbf5ebe66fa33083160edd48e332ca02c00eb1cc653c
SHA512: 333be7418605398bca5d2c0618d37e5ff2fc12c403cd1e03f19362c51de6ccfe
ae1099c388110a35f4ac95d930a47752220310a6fb11301679000886a09a1ef1
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x673a792b
timedatestamp.....: 0x461fa8a6 (Fri Apr 13 15:58:30 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2bb79 0x2bc00 6.40 b8418feee5bc08ac146916563fea2ef5
.data 0x2d000 0x67d8 0x6600 1.89 40835286dd0b19ad466408635ac7650e
.rsrc 0x34000 0x390 0x400 3.03 712e55ac792b0cc66fd98835bd0ca703
.reloc 0x35000 0x1d90 0x1e00 5.84 2258cea91a22c1e9d18dccd7ac9d55fa

( 8 imports )
> msvcrt.dll: _wcslwr, free, _initterm, _amsg_exit, _adjust_fdiv, _wtoi, _itow, _wstat, _wsplitpath, sprintf, atoi, wcsncpy, wcstol, __2@YAPAXI@Z, __3@YAXPAX@Z, _vsnwprintf, _vsnprintf, wcschr, wcsstr, wcsrchr, wcsncat, _XcptFilter, malloc, memcpy, wcsncmp, _snwprintf, memset
> KERNEL32.dll: GetPrivateProfileSectionW, WritePrivateProfileStringW, GetModuleFileNameW, FindFirstFileW, FindNextFileW, FindClose, CreateDirectoryW, IsBadWritePtr, CopyFileW, RemoveDirectoryW, DeleteFileW, SetFileAttributesW, GetFileAttributesW, GetSystemWindowsDirectoryW, GetPrivateProfileStringW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, InterlockedExchange, GetProcessHeap, HeapAlloc, SetThreadPriority, ResetEvent, lstrcpyW, LoadLibraryW, GetSystemDefaultLangID, MultiByteToWideChar, GlobalAlloc, lstrcmpiW, LocalFree, InitializeCriticalSectionAndSpinCount, lstrcatW, CreateMutexW, DeleteCriticalSection, WaitForMultipleObjects, GetCurrentThreadId, OpenProcess, CreateProcessW, FreeLibrary, GetProcAddress, GetModuleHandleW, ReleaseMutex, WaitForSingleObject, GlobalFree, lstrcmpW, lstrlenW, GetLastError, GetTickCount, Sleep, GetVersionExW, lstrcpynA, lstrlenA, lstrcmpA, SetLastError, lstrcpynW, CreateMailslotW, CloseHandle, SetEvent, WriteFile, CreateFileW, LeaveCriticalSection, EnterCriticalSection, WideCharToMultiByte, GetOverlappedResult, CancelIo, ReadFile, CreateThread, CreateEventW, GetComputerNameW
> ADVAPI32.dll: RegQueryValueExW, RegOpenKeyExW, ConvertStringSecurityDescriptorToSecurityDescriptorW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, CreateProcessAsUserW, DuplicateTokenEx, OpenProcessToken, GetUserNameW, RegCloseKey
> USER32.dll: CharUpperBuffA, CharLowerBuffW, LoadStringW, CharLowerW, wsprintfW
> SPOOLSS.DLL: RevertToPrinterSelf, GetPrinterDriverW, GetPrinterDriverDirectoryW, GetPrinterW, ClosePrinter, OpenPrinterW, GetJobW, GetPrinterDataW, SetPrinterDataW, ImpersonatePrinterClient, SetJobW, SetPortW
> PSAPI.DLL: GetModuleBaseNameW, EnumProcessModules, EnumProcesses
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> SHELL32.dll: SHGetFolderPathW

( 2 exports )
DllMain, InitializePrintMonitor2

O.K. das wars erstmal..

Fange jetzt mit Scrpiten mit Combofix an..

Danke Danke Danke Sunny!!

Grüße Edi

Hi.

warte bitte mit dem CF-Skript grad nochmal auf Rückmeldung von Sunny.

lg myrtille