Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Probleme mit TR/Vundo und TR/crypt.Xpack

Probleme mit TR/Vundo und TR/crypt.Xpack


Plagegeister aller Art und deren Bekämpfung: Probleme mit TR/Vundo und TR/crypt.Xpack

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 15.01.2009, 17:18   #1
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Hi,

ich habe ein Problem mit meinem Rechner, genauer gesagt mit 2 Rechnern, die in einem Netzwerk sind.

Vor einiger Zeit hat avira Antivir gemeldet, dass ich einen Trojaner auf dem Rechner habe: und zwar den TR/Vundu.gen.

Danach habe ich mich versuch im Internet schlau zu machen wie ich den loswerde und bin zu dem Schluss gekommen, dass formatieren wohl das einfachste ist. Also habe ich mir alle Daten gesichert (auf den 2. Rechner), dann beide Rechner mit der rescue CD von avira durchsucht und danach den befallenen Rechner formatiert. Danach schien auch alles in Ordnung zu sein, aber vor ca einer Woche kam der Virus wieder und zwar diesmal auf beiden Rechnern. Auf dem ersten kam zusätzlich noch ein weiterer Virus nämlich der TR/crypt.Xpack.gen. Daraufhin habe ich versuch mit Knoppicillin dem Trojaner Herr zu werden. Ich habe mir eine Version aus dem Internet gezogen, die mit clamav arbeitet. Allerdings hat der Scan keine Ergebnisse gehabt. Ich hab dann irgendwo gelesen, dass man die verseuchte Dateien bei virustotal.com hochladen kann und da hat sich herausgestellt, dass clamav den virus nicht kennt. (Antivir hat bei einer vollständigen Systemprüfung jedoch auch nichts gefunden).

Also habe ich die .dll Dateien
bei dem einen Rechner war es immer die gleiche:
C:/Windows/System32/wvUljJy.dll mit dem Trojaner TR/Vundo.gen

bei dem anderen 3 Stück: auch in System 32:

wvUljJy.dll
dvggbs.dll
mlJyqNDU.dll

ich habe mit processexplorer die jeweiligen Prozesse die die Dateien verwenden gekillt und dann die .dll gelöscht. Eine Datei wurde von winlogon verwendet, die habe ich mit dem Programm unlocker entfernen können. Seither habe ich keine Meldung mehr von Antivir bekommen.

Ich vermute dass der Prozess apache irgendwas mit dem virus zu tun hat, weil ich habe nie so ein Programm installiert und das ist doch soweit ich weiß ein Internetserver oder?

Nun meine Frage: Ist der Trojaner jetzt weg oder muss ich trotzdem noch formatieren? Oder etwas anderes machen?

Hier habe ich noch die HijackThis log Files und das Logfile von viustotal:


Hijackthis log von dem ersten Rechner:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:22:54, on 15.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\csrcs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe

O4 - HKLM\..\Run: [e487bc0c] rundll32.exe "C:\WINDOWS\system32\nrkvfkyj.dll",b

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe



--

End of file - 3367 bytes




von dem 2. Rechner:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:24:30, on 15.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\csrcs.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: {10beb00e-e61b-ac7a-e354-4156a1646f54} - {45f6461a-6514-453e-a7ca-b16ee00beb01} - C:\WINDOWS\system32\jjtusw.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\vtUnnopp.dll (file missing)

O2 - BHO: (no name) - {CE266E01-1D8A-4EA3-B601-CFEED7AE65A5} - C:\WINDOWS\system32\wvUmjJcY.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan

O4 - HKLM\..\Run: [9464ce99] rundll32.exe "C:\WINDOWS\system32\vwgfjmsc.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cogad] "C:\Dokumente und Einstellungen\Maier\Anwendungsdaten\cogad\cogad.exe" 61A847B5BBF72810369239466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O20 - AppInit_DLLs: jjtusw.dll

O20 - Winlogon Notify: vtUnnopp - vtUnnopp.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe



--

End of file - 5029 bytes



Information von w*w.virustotal.com

Datei mlJYqNDU.dll empfangen 2009.01.14 23:25:45 (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.14 -
AhnLab-V3 2009.1.15.0 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 TR/Vundo.Gen
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 -
AVG 8.0.0.229 2009.01.14 Generic12.AUYJ
BitDefender 7.2 2009.01.14 -
CAT-QuickHeal 10.00 2009.01.14 -
ClamAV 0.94.1 2009.01.14 -
Comodo 931 2009.01.14 -
DrWeb 4.44.0.09170 2009.01.14 -
eSafe 7.0.17.0 2009.01.14 Suspicious File
eTrust-Vet 31.6.6307 2009.01.14 -
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.14 -
Fortinet 3.117.0.0 2009.01.14 -
GData 19 2009.01.14 -
Ikarus T3.1.1.45.0 2009.01.14 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.14 -
McAfee 5495 2009.01.14 -
McAfee+Artemis 5495 2009.01.14 -
Microsoft 1.4205 2009.01.14 Trojan:Win32/Vundo.gen!C
NOD32 3766 2009.01.14 -
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 -
Panda 9.5.1.2 2009.01.14 Suspicious file
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.14 Fraudulent Security Program
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 Trojan.Vundo.Gen
Sophos 4.37.0 2009.01.14 Troj/Virtum-Gen
Sunbelt 3.2.1831.2 2009.01.09 VIPRE.Suspicious
Symantec 10 2009.01.14 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.14 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.14.1559 2009.01.14 -
VirusBuster 4.5.11.0 2009.01.14 -

weitere Informationen
File size: 36864 bytes
MD5...: 9eafdf2976dd5ee821a0cfd0b318be78
SHA1..: 257f5a2ab65c0c18d6fc4cf7271803317785e5d5
SHA256: cc32978212db66c0fb01a38ffbc4389c27af42dd74b37585fcdb377fdd604294
SHA512: 12bcb9c2d42190e2d69e57b13a3c74c36ca29c793f380f38db73b0f0eabe5113
0939d60c60d5bd8d3644e1bc725fc37d2101849c71673fe29863164dd3b345f0
ssdeep: 768:bJV7Y2U3EaJOzN5l2R1wHXgttPY/OSpAVXDDhjX6y:bggSOzF2R1K6VGLApD
D9
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012de
timedatestamp.....: 0x4049a4a0 (Sat Mar 06 10:14:56 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3000 0x2400 6.45 a8dffd8174cef6ae10e5a649af401fb7
0x4000 0x1000 0x600 0.25 c52548eb98d15b14917f2e05f11bcc74
0x5000 0x2000 0x2000 7.98 5547d0c378ed450085599e215b68fdb4
0x7000 0x2000 0x1e00 7.97 1297775959a9f4aa9a9081a3b5f91c62
0x9000 0xc000 0x2400 7.40 0452bfcc5bf1d4b3fb6a167e1419ddda

( 6 imports )
> COMCTL32.dll: InitCommonControlsEx
> KERNEL32.dll: ExitProcess, GetModuleHandleW, GetSystemInfo
> USER32.dll: DispatchMessageW, TranslateMessage, LoadIconA, GetSystemMetrics
> GDI32.dll: Arc, SelectClipPath
> comdlg32.dll: PrintDlgExA
> ADVAPI32.dll: RegQueryValueExW

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...0B6A0078C67B24

Vielen Dank schon mal

Gruß Marcel


PS: Sorry, dass es das Logfile von virustotal so komisch anzeigt.

Alt 15.01.2009, 19:58   #2
Sunny
Administrator
> Competence Manager
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Hallo marzl und

  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

(nach dem scannen auf den Button klicken und Funde löschen lassen!)



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________
Alt 16.01.2009, 17:40   #3
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Hi,

hier mal die log files von RSIT von dem ersten rechner (ich wusste nicht was du mit minimiert gemeint hast):

Logfile of random's system information tool 1.05 (written by random/random)
Run by angelika at 2009-01-16 17:28:09
Microsoft Windows XP Professional Service Pack 3
System drive C: has 9 GB (64%) free of 14 GB
Total RAM: 255 MB (26% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:22, on 16.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\angelika\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\angelika.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: {0c7ae610-c571-2e78-c3d4-e8c4f8f87841} - {14878f8f-4c8e-4d3c-87e2-175c016ea7c0} - C:\WINDOWS\system32\gvmcrs.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\mlJYqNDU.dll (file missing)
O2 - BHO: (no name) - {9C6E6B15-8323-4DF6-9716-842E31E04D1B} - C:\WINDOWS\system32\iifeeFWn.dll
O2 - BHO: (no name) - {AE2E0DB2-A8AE-4709-B2FB-1FF2CE8DDE62} - C:\WINDOWS\system32\wvUlijJY.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [e487bc0c] rundll32.exe "C:\WINDOWS\system32\nrkvfkyj.dll",b
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: mlJYqNDU - mlJYqNDU.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe


O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 3931 bytes
======Scheduled tasks folder======

C:\WINDOWS\tasks\lfyqzmir.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14878f8f-4c8e-4d3c-87e2-175c016ea7c0}]
C:\WINDOWS\system32\gvmcrs.dll [2009-01-14 103424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
C:\WINDOWS\system32\mlJYqNDU.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C6E6B15-8323-4DF6-9716-842E31E04D1B}]
C:\WINDOWS\system32\iifeeFWn.dll [2009-01-14 235520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE2E0DB2-A8AE-4709-B2FB-1FF2CE8DDE62}]
C:\WINDOWS\system32\wvUlijJY.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"SfWinStartInfo"=C:\SFIRM32\sfWinStartupInfo.exe [2007-12-05 112000]
"e487bc0c"=C:\WINDOWS\system32\nrkvfkyj.dll [2009-01-14 68608]
"UnlockerAssistant"=C:\Programme\Unlocker\UnlockerAssistant.exe []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"csrcs"=C:\WINDOWS\system32\csrcs.exe [2008-04-14 583998]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
SFIRM32 Automat.lnk - C:\SFIRM32\SFAutomat.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mlJYqNDU]
mlJYqNDU.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\mlJYqNDU.dll []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
C:\WINDOWS\system32\iifeeFWn

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ed06fc0-e26b-11dd-a959-000ae62c3dff}]
shell\AutoRun\command - F:\tydoxc.exe
shell\explore\command - F:\tydoxc.exe
shell\open\command - F:\tydoxc.exe





Gruß Marcel
PS: ist zu lang wenn ich es auf einmal poste...
__________________
Alt 16.01.2009, 17:41   #4
Sunny
Administrator
> Competence Manager
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Zitat:
Zitat von marzl Beitrag anzeigen
PS: ist zu lang wenn ich es auf einmal poste...
Dann mach einfach mehrere Beiträge hintereinander auf!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 16.01.2009, 17:43   #5
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


======List of files/folders created in the last 1 months======

2009-01-16 17:28:09 ----D---- C:\rsit
2009-01-16 17:25:53 ----A---- C:\WINDOWS\system32\wlnfva.dll
2009-01-16 17:25:51 ----A---- C:\WINDOWS\system32\tlkvypka.dll
2009-01-15 15:18:31 ----D---- C:\Programme\Trend Micro
2009-01-14 23:56:05 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Desktopicon
2009-01-14 23:55:45 ----D---- C:\Programme\Unlocker
2009-01-14 23:10:08 ----SH---- C:\WINDOWS\system32\jykfvkrn.ini
2009-01-14 23:10:08 ----A---- C:\WINDOWS\system32\gvmcrs.dll
2009-01-14 23:10:05 ----A---- C:\WINDOWS\system32\lseowtoc.dll
2009-01-14 23:10:02 ----A---- C:\WINDOWS\system32\nrkvfkyj.dll
2009-01-14 23:08:14 ----ASH---- C:\WINDOWS\system32\nWFeefii.ini2
2009-01-14 23:08:06 ----ASH---- C:\WINDOWS\system32\nWFeefii.ini
2009-01-14 23:08:02 ----A---- C:\WINDOWS\system32\sbfg.exe
2009-01-14 23:07:59 ----A---- C:\WINDOWS\system32\iifeeFWn.dll
2009-01-14 22:53:00 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\WinRAR
2009-01-14 19:50:19 ----D---- C:\VundoFix Backups
2009-01-14 19:50:19 ----A---- C:\VundoFix.txt
2009-01-13 23:32:59 ----A---- C:\WINDOWS\system32\nduunojn.dll
2009-01-13 23:31:34 ----A---- C:\WINDOWS\system32\efa47872-.txt
2009-01-13 23:24:09 ----ASH---- C:\WINDOWS\system32\YJjilUvw.ini2
2009-01-13 23:23:58 ----ASH---- C:\WINDOWS\system32\YJjilUvw.ini
2009-01-13 23:17:43 ----A---- C:\WINDOWS\system32\geBtSKEU.dll
2009-01-11 10:40:15 ----D---- C:\Programme\Bonjour
2009-01-11 10:39:52 ----D---- C:\Programme\Apple Software Update
2009-01-11 10:39:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-01-11 03:09:04 ----D---- C:\WINDOWS\Prefetch
2009-01-11 03:02:02 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-01-11 03:01:38 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-01-10 15:51:45 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2009-01-10 15:51:32 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-01-10 15:51:16 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-01-10 15:51:04 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-01-10 15:50:51 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-01-10 15:50:38 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-01-10 15:50:20 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-01-10 15:49:24 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-01-10 15:48:36 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-01-10 15:48:22 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-01-10 15:48:08 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-01-10 15:47:55 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-01-10 15:47:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-01-10 15:47:27 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-01-10 15:47:13 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-01-10 15:46:54 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-01-10 15:46:42 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-01-10 15:46:30 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-01-10 15:46:17 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-01-10 15:45:58 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-01-10 15:40:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-01-10 15:37:11 ----A---- C:\WINDOWS\system32\wpa.bak
2009-01-10 15:33:59 ----D---- C:\WINDOWS\system32\de-de
2009-01-10 15:33:56 ----D---- C:\WINDOWS\l2schemas
2009-01-10 15:33:55 ----D---- C:\WINDOWS\system32\de
2009-01-10 15:33:54 ----D---- C:\WINDOWS\system32\bits
2009-01-10 15:23:45 ----D---- C:\WINDOWS\ServicePackFiles
2009-01-10 15:15:45 ----D---- C:\WINDOWS\network diagnostic
2009-01-10 15:11:07 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-01-10 15:05:10 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-01-10 14:49:07 ----A---- C:\WINDOWS\Uno.ini
2009-01-10 14:49:07 ----A---- C:\WINDOWS\Sfirm32.ini
2009-01-10 14:49:04 ----N---- C:\WINDOWS\system32\HHActiveX.dll
2009-01-10 14:49:03 ----N---- C:\WINDOWS\system32\Uno364mi.dll
2009-01-10 14:49:03 ----N---- C:\WINDOWS\system32\Osl364mi.dll
2009-01-10 14:49:02 ----N---- C:\WINDOWS\system32\Vos364mi.dll
2009-01-10 14:49:01 ----N---- C:\WINDOWS\system32\Mstext35.dll
2009-01-10 14:49:01 ----N---- C:\WINDOWS\system32\msltus35.dll
2009-01-10 14:49:00 ----N---- C:\WINDOWS\system32\vbar332.dll
2009-01-10 14:49:00 ----N---- C:\WINDOWS\system32\msrd2x35.dll
2009-01-10 14:49:00 ----N---- C:\WINDOWS\system32\mspdox35.dll
2009-01-10 14:49:00 ----N---- C:\WINDOWS\system32\msjet35.dll
2009-01-10 14:49:00 ----N---- C:\WINDOWS\system32\msexcl35.dll
2009-01-10 14:48:59 ----N---- C:\WINDOWS\system32\msrepl35.dll
2009-01-10 14:48:59 ----N---- C:\WINDOWS\system32\msjter35.dll
2009-01-10 14:48:59 ----N---- C:\WINDOWS\system32\msjint35.dll
2009-01-10 14:48:48 ----D---- C:\SFIRM32
2009-01-10 14:47:01 ----A---- C:\WINDOWS\IsUn0407.exe
2009-01-09 14:26:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$
2009-01-09 14:26:35 ----HDC---- C:\WINDOWS\$NtUninstallKB952954_0$
2009-01-09 14:26:27 ----HDC---- C:\WINDOWS\$NtUninstallKB946648_0$
2009-01-09 14:26:18 ----HDC---- C:\WINDOWS\$NtUninstallKB956803_0$
2009-01-09 14:26:04 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-01-09 13:07:38 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-01-09 13:07:27 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2009-01-09 13:07:18 ----HDC---- C:\WINDOWS\$NtUninstallKB957095_0$
2009-01-09 13:06:46 ----HDC---- C:\WINDOWS\$NtUninstallKB958215_0$
2009-01-09 13:04:55 ----A---- C:\WINDOWS\system32\MRT.exe
2009-01-09 13:04:46 ----HDC---- C:\WINDOWS\$NtUninstallKB950974_0$
2009-01-09 13:04:00 ----HDC---- C:\WINDOWS\$NtUninstallKB951698_0$
2009-01-09 13:03:50 ----HDC---- C:\WINDOWS\$NtUninstallKB954211_0$
2009-01-09 13:03:25 ----HDC---- C:\WINDOWS\$NtUninstallKB956841_0$
2009-01-09 13:03:11 ----HDC---- C:\WINDOWS\$NtUninstallKB960714_0$
2009-01-09 13:03:02 ----HDC---- C:\WINDOWS\$NtUninstallKB950762_0$
2009-01-09 13:02:53 ----HDC---- C:\WINDOWS\$NtUninstallKB957097_0$
2009-01-09 13:02:44 ----HDC---- C:\WINDOWS\$NtUninstallKB952287_0$
2009-01-09 13:02:34 ----HDC---- C:\WINDOWS\$NtUninstallKB951066_0$
2009-01-09 13:02:26 ----HDC---- C:\WINDOWS\$NtUninstallKB938464_0$
2009-01-09 13:02:17 ----HDC---- C:\WINDOWS\$NtUninstallKB954600_0$
2009-01-09 13:02:07 ----HDC---- C:\WINDOWS\$NtUninstallKB958644_0$
2009-01-09 13:01:57 ----HDC---- C:\WINDOWS\$NtUninstallKB955069_0$
2009-01-09 13:01:48 ----HDC---- C:\WINDOWS\$NtUninstallKB956802_0$
2009-01-09 13:01:22 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
2009-01-08 23:04:26 ----D---- C:\WINDOWS\system32\PreInstall
2009-01-08 23:04:24 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-01-08 23:04:24 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-01-08 23:04:21 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-01-08 23:04:20 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-08 23:01:39 ----D---- C:\Programme\Avira
2009-01-08 23:01:39 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-01-08 22:58:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-01-08 22:57:14 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-01-08 22:57:13 ----D---- C:\Programme\Adobe
2009-01-08 22:50:31 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Talkback
2009-01-08 22:49:36 ----D---- C:\Programme\WinRAR
2009-01-08 22:47:40 ----SHD---- C:\RECYCLER
2009-01-08 22:47:31 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Thunderbird
2009-01-08 22:47:02 ----D---- C:\Programme\Mozilla Thunderbird
2009-01-08 22:46:35 ----A---- C:\WINDOWS\ODBC.INI
2009-01-08 22:46:20 ----A---- C:\WINDOWS\system32\mdimon.dll
2009-01-08 22:46:03 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Mozilla
2009-01-08 22:44:45 ----D---- C:\Programme\Mozilla Firefox
2009-01-08 22:43:39 ----D---- C:\Programme\Gemeinsame Dateien\DESIGNER
2009-01-08 22:42:58 ----D---- C:\WINDOWS\SHELLNEW
2009-01-08 22:42:53 ----D---- C:\Programme\Microsoft Office
2009-01-08 22:39:52 ----RHD---- C:\MSOCache
2009-01-08 22:39:11 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2009-01-08 22:38:55 ----D---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Identities
2009-01-08 22:38:53 ----HD---- C:\Programme\Uninstall Information
2009-01-08 22:38:39 ----ASH---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\desktop.ini
2009-01-08 22:38:38 ----SD---- C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Microsoft
2009-01-08 22:26:49 ----SH---- C:\boot.ini
2009-01-08 22:20:54 ----SHD---- C:\System Volume Information
2009-01-08 22:20:14 ----D---- C:\WINDOWS\SoftwareDistribution
2009-01-08 22:20:03 ----SD---- C:\WINDOWS\system32\Microsoft
2009-01-08 22:20:03 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-01-08 22:17:42 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-01-08 22:17:42 ----RSD---- C:\WINDOWS\Fonts
2009-01-08 22:17:42 ----RD---- C:\WINDOWS\Web
2009-01-08 22:17:42 ----HD---- C:\WINDOWS\inf
2009-01-08 22:17:42 ----D---- C:\WINDOWS\WinSxS
2009-01-08 22:17:42 ----D---- C:\WINDOWS\twain_32
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Temp
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\wins
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\wbem
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\usmt
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\spool
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\ShellExt
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\Setup
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\ras
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\oobe
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\npp
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\mui
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\inetsrv
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\IME
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\icsxml
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\ias
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\export
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\drivers
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\dhcp
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\config
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\3com_dmi
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\3076
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\2052
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1054
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1042
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1041
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1037
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1033
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1031
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1028
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32\1025
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system32
2009-01-08 22:17:42 ----D---- C:\WINDOWS\system
2009-01-08 22:17:42 ----D---- C:\WINDOWS\security
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Resources
2009-01-08 22:17:42 ----D---- C:\WINDOWS\repair
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Provisioning
2009-01-08 22:17:42 ----D---- C:\WINDOWS\PeerNet
2009-01-08 22:17:42 ----D---- C:\WINDOWS\pchealth
2009-01-08 22:17:42 ----D---- C:\WINDOWS\mui
2009-01-08 22:17:42 ----D---- C:\WINDOWS\msapps
2009-01-08 22:17:42 ----D---- C:\WINDOWS\msagent
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Media
2009-01-08 22:17:42 ----D---- C:\WINDOWS\java
2009-01-08 22:17:42 ----D---- C:\WINDOWS\ime
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Help
2009-01-08 22:17:42 ----D---- C:\WINDOWS\ehome
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Driver Cache
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Debug
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Cursors
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Connection Wizard
2009-01-08 22:17:42 ----D---- C:\WINDOWS\Config
2009-01-08 22:17:42 ----D---- C:\WINDOWS\AppPatch
2009-01-08 22:17:42 ----D---- C:\WINDOWS\addins
2009-01-08 22:17:42 ----D---- C:\WINDOWS
2009-01-08 22:13:53 ----D---- C:\WINDOWS\system32\xircom
2009-01-08 22:13:53 ----D---- C:\Programme\xerox
2009-01-08 22:13:53 ----D---- C:\Programme\microsoft frontpage
2009-01-08 22:12:46 ----A---- C:\WINDOWS\control.ini
2009-01-08 22:12:46 ----A---- C:\AUTOEXEC.BAT
2009-01-08 22:12:24 ----A---- C:\WINDOWS\OEWABLog.txt
2009-01-08 22:12:18 ----A---- C:\WINDOWS\system32\mapi32.dll
2009-01-08 22:10:11 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-01-08 22:10:11 ----RD---- C:\WINDOWS\Offline Web Pages
2009-01-08 22:10:10 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2009-01-08 22:09:58 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2009-01-08 22:09:49 ----HD---- C:\Programme\WindowsUpdate
2009-01-08 22:09:42 ----D---- C:\Programme\Online-Dienste
2009-01-08 22:09:15 ----D---- C:\WINDOWS\system32\DirectX
2009-01-08 22:08:50 ----A---- C:\WINDOWS\system32\atrace.dll
2009-01-08 22:08:48 ----A---- C:\WINDOWS\system32\desktop.ini
2009-01-08 22:08:48 ----A---- C:\WINDOWS\desktop.ini
2009-01-08 22:08:41 ----A---- C:\WINDOWS\system32\nmevtmsg.dll
2009-01-08 22:08:39 ----D---- C:\Programme\Gemeinsame Dateien\Dienste
2009-01-08 22:08:39 ----A---- C:\WINDOWS\system32\acctres.dll
2009-01-08 22:08:36 ----SD---- C:\WINDOWS\Tasks
2009-01-08 22:08:36 ----A---- C:\WINDOWS\system32\icfgnt5.dll
2009-01-08 22:08:35 ----D---- C:\Programme\Gemeinsame Dateien\MSSoap
2009-01-08 22:08:30 ----D---- C:\WINDOWS\srchasst
2009-01-08 22:08:29 ----D---- C:\WINDOWS\system32\Macromed
2009-01-08 22:08:26 ----A---- C:\WINDOWS\system32\wuweb.dll
2009-01-08 22:08:26 ----A---- C:\WINDOWS\system32\wucltui.dll
2009-01-08 22:08:26 ----A---- C:\WINDOWS\system32\wuauserv.dll
2009-01-08 22:08:26 ----A---- C:\WINDOWS\system32\wuaueng1.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\wups.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\wuaueng.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\wuauclt1.exe
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\wuauclt.exe
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\wuapi.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\qmgrprxy.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\bitsprx3.dll
2009-01-08 22:08:25 ----A---- C:\WINDOWS\system32\bitsprx2.dll
2009-01-08 22:08:24 ----A---- C:\WINDOWS\system32\qmgr.dll
2009-01-08 22:08:20 ----D---- C:\Programme\Movie Maker
2009-01-08 22:08:16 ----A---- C:\WINDOWS\system32\safrslv.dll
2009-01-08 22:08:16 ----A---- C:\WINDOWS\system32\safrdm.dll
2009-01-08 22:08:16 ----A---- C:\WINDOWS\system32\safrcdlg.dll
2009-01-08 22:08:16 ----A---- C:\WINDOWS\system32\racpldlg.dll
2009-01-08 22:08:12 ----A---- C:\WINDOWS\system32\fltmc.exe
2009-01-08 22:08:12 ----A---- C:\WINDOWS\system32\fltlib.dll
2009-01-08 22:08:11 ----D---- C:\WINDOWS\system32\Restore
2009-01-08 22:08:11 ----A---- C:\WINDOWS\system32\srsvc.dll
2009-01-08 22:08:11 ----A---- C:\WINDOWS\system32\srrstr.dll
2009-01-08 22:08:11 ----A---- C:\WINDOWS\system32\srclient.dll
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\nmmkcert.dll
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\msconf.dll
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\mnmsrvc.exe
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\mnmdd.dll
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\isrdbg32.dll
2009-01-08 22:08:10 ----A---- C:\WINDOWS\system32\ils.dll
2009-01-08 22:08:07 ----D---- C:\Programme\NetMeeting
2009-01-08 22:08:07 ----A---- C:\WINDOWS\system32\msoert2.dll
2009-01-08 22:08:07 ----A---- C:\WINDOWS\system32\msoeacct.dll
2009-01-08 22:08:06 ----A---- C:\WINDOWS\system32\inetres.dll
2009-01-08 22:08:05 ----A---- C:\WINDOWS\system32\inetcomm.dll
2009-01-08 22:08:02 ----D---- C:\Programme\Outlook Express
2009-01-08 22:08:02 ----A---- C:\WINDOWS\system32\schedsvc.dll
2009-01-08 22:08:01 ----A---- C:\WINDOWS\system32\mstinit.exe
2009-01-08 22:08:01 ----A---- C:\WINDOWS\system32\mstask.dll
2009-01-08 22:08:01 ----A---- C:\WINDOWS\system32\icwphbk.dll
2009-01-08 22:08:01 ----A---- C:\WINDOWS\system32\icwdial.dll
2009-01-08 22:08:00 ----A---- C:\WINDOWS\system32\isign32.dll
2009-01-08 22:08:00 ----A---- C:\WINDOWS\system32\inetcfg.dll
2009-01-08 22:07:54 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-01-08 22:07:50 ----D---- C:\Programme\Internet Explorer
2009-01-08 22:06:42 ----D---- C:\Programme\ComPlus Applications
2009-01-08 22:06:38 ----A---- C:\WINDOWS\vbaddin.ini
2009-01-08 22:06:38 ----A---- C:\WINDOWS\vb.ini
2009-01-08 22:06:31 ----D---- C:\WINDOWS\Registration
2009-01-08 22:06:20 ----D---- C:\Programme\Windows Media Player
2009-01-08 22:06:20 ----D---- C:\Programme\Online Services
2009-01-08 22:06:10 ----D---- C:\Programme\Messenger
2009-01-08 22:06:06 ----D---- C:\Programme\MSN Gaming Zone
2009-01-08 22:06:06 ----A---- C:\WINDOWS\system32\write.exe
2009-01-08 22:05:52 ----A---- C:\WINDOWS\system32\sndvol32.exe
2009-01-08 22:05:52 ----A---- C:\WINDOWS\system32\hticons.dll
2009-01-08 22:05:52 ----A---- C:\WINDOWS\system32\avwav.dll
2009-01-08 22:05:52 ----A---- C:\WINDOWS\system32\avtapi.dll
2009-01-08 22:05:52 ----A---- C:\WINDOWS\system32\avmeter.dll
2009-01-08 22:05:51 ----A---- C:\WINDOWS\system32\winchat.exe
2009-01-08 22:05:43 ----A---- C:\WINDOWS\system32\getuname.dll
2009-01-08 22:05:43 ----A---- C:\WINDOWS\system32\charmap.exe
2009-01-08 22:05:43 ----A---- C:\WINDOWS\system32\calc.exe
2009-01-08 22:05:42 ----A---- C:\WINDOWS\system32\winmine.exe
2009-01-08 22:05:42 ----A---- C:\WINDOWS\system32\sol.exe
2009-01-08 22:05:42 ----A---- C:\WINDOWS\system32\mshearts.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\usrlogon.cmd
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\tsshutdn.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\tslabels.ini
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\tskill.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\tsdiscon.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\tscon.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\shadow.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\rwinsta.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\reset.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\regini.exe
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\rdpcfgex.dll
2009-01-08 22:05:41 ----A---- C:\WINDOWS\system32\freecell.exe
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\qwinsta.exe
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\qappsrv.exe
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\msg.exe
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\msdtcprf.ini
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\logoff.exe
2009-01-08 22:05:40 ----A---- C:\WINDOWS\system32\cdmodem.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\stclient.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\mtxlegih.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\mtxex.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\mtxdm.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\dcomcnfg.exe
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\comrepl.dll
2009-01-08 22:05:39 ----A---- C:\WINDOWS\system32\comaddin.dll
2009-01-08 22:05:38 ----A---- C:\WINDOWS\system32\comsnap.dll
2009-01-08 22:05:31 ----A---- C:\WINDOWS\system32\wmimgmt.msc
2009-01-08 22:05:22 ----D---- C:\Programme\MSN
2009-01-08 22:05:21 ----A---- C:\WINDOWS\system32\sndrec32.exe
2009-01-08 22:05:21 ----A---- C:\WINDOWS\system32\mplay32.exe
2009-01-08 22:05:21 ----A---- C:\WINDOWS\system32\accwiz.exe
2009-01-08 22:05:20 ----D---- C:\Programme\Windows NT
2009-01-08 22:05:20 ----A---- C:\WINDOWS\system32\mspaint.exe
2009-01-08 22:05:20 ----A---- C:\WINDOWS\system32\hypertrm.dll
2009-01-08 22:05:20 ----A---- C:\WINDOWS\system32\clipbrd.exe
2009-01-08 22:05:19 ----A---- C:\WINDOWS\system32\tscfgwmi.dll
2009-01-08 22:05:19 ----A---- C:\WINDOWS\system32\spider.exe
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\sessmgr.exe
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\remotepg.dll
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\rdshost.exe
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\rdsaddin.exe
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\rdchost.dll
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\mstscax.dll
2009-01-08 22:05:18 ----A---- C:\WINDOWS\system32\mstsc.exe
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\tscupgrd.exe
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\termsrv.dll
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\rdpwsx.dll
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\rdpsnd.dll
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\rdpclip.exe
2009-01-08 22:05:17 ----A---- C:\WINDOWS\system32\qprocess.exe
2009-01-08 22:05:15 ----D---- C:\WINDOWS\system32\MsDtc
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\mtxoci.dll
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\msdtcuiu.dll
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\msdtctm.dll
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\msdtcprx.dll
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\icaapi.dll
2009-01-08 22:05:15 ----A---- C:\WINDOWS\system32\cfgbkend.dll
2009-01-08 22:05:14 ----A---- C:\WINDOWS\system32\xolehlp.dll
2009-01-08 22:05:14 ----A---- C:\WINDOWS\system32\msdtclog.dll
2009-01-08 22:05:14 ----A---- C:\WINDOWS\system32\msdtc.exe
2009-01-08 22:05:13 ----D---- C:\WINDOWS\system32\Com
2009-01-08 22:05:13 ----A---- C:\WINDOWS\system32\colbact.dll
2009-01-08 22:05:13 ----A---- C:\WINDOWS\system32\clbcatex.dll
2009-01-08 22:05:13 ----A---- C:\WINDOWS\system32\catsrvut.dll
2009-01-08 22:05:13 ----A---- C:\WINDOWS\system32\catsrvps.dll
2009-01-08 22:05:13 ----A---- C:\WINDOWS\system32\catsrv.dll
2009-01-08 22:05:12 ----A---- C:\WINDOWS\system32\comuid.dll
2009-01-08 22:05:12 ----A---- C:\WINDOWS\system32\comsvcs.dll
2009-01-08 22:05:12 ----A---- C:\WINDOWS\system32\clbcatq.dll
2009-01-08 22:05:03 ----A---- C:\WINDOWS\system32\servdeps.dll
2009-01-08 22:05:03 ----A---- C:\WINDOWS\system32\mmfutil.dll
2009-01-08 22:05:03 ----A---- C:\WINDOWS\system32\licwmi.dll
2009-01-08 22:05:03 ----A---- C:\WINDOWS\system32\cmprops.dll
2009-01-08 21:48:32 ----A---- C:\WINDOWS\system32\h323log.txt
2009-01-08 21:33:45 ----A---- C:\WINDOWS\system32\ksuser.dll
2009-01-08 21:33:31 ----A---- C:\WINDOWS\system32\nv4_disp.dll
2009-01-08 21:32:58 ----A---- C:\WINDOWS\system32\usbui.dll
2009-01-08 21:31:03 ----A---- C:\WINDOWS\imsins.BAK
2009-01-08 21:30:58 ----SHD---- C:\WINDOWS\Installer
2009-01-08 21:30:58 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-01-08 21:30:57 ----D---- C:\Programme\Gemeinsame Dateien\ODBC
2009-01-08 21:30:57 ----A---- C:\WINDOWS\ODBCINST.INI
2009-01-08 21:30:53 ----D---- C:\Programme\Gemeinsame Dateien\SpeechEngines
2009-01-08 21:30:52 ----RD---- C:\Programme
2009-01-08 21:30:52 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-01-08 21:30:52 ----D---- C:\Programme\Gemeinsame Dateien
2009-01-08 21:30:44 ----RA---- C:\WINDOWS\system32\kbdtuq.dll
2009-01-08 21:30:44 ----RA---- C:\WINDOWS\system32\kbdtuf.dll


Alt 16.01.2009, 17:45   #6
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


2009-01-08 21:30:44 ----RA---- C:\WINDOWS\system32\kbdazel.dll
2009-01-08 21:30:43 ----RA---- C:\WINDOWS\system32\kbdtat.dll
2009-01-08 21:30:43 ----RA---- C:\WINDOWS\system32\kbdmon.dll
2009-01-08 21:30:43 ----RA---- C:\WINDOWS\system32\kbdkyr.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdycc.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbduzb.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdur.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdru1.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdru.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdkaz.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdbu.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdblr.dll
2009-01-08 21:30:42 ----RA---- C:\WINDOWS\system32\kbdaze.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhept.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhela3.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhela2.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhe319.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhe220.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdhe.dll
2009-01-08 21:30:40 ----RA---- C:\WINDOWS\system32\kbdgkl.dll
2009-01-08 21:30:39 ----RA---- C:\WINDOWS\system32\kbdlv1.dll
2009-01-08 21:30:39 ----RA---- C:\WINDOWS\system32\kbdlv.dll
2009-01-08 21:30:39 ----RA---- C:\WINDOWS\system32\kbdlt1.dll
2009-01-08 21:30:39 ----RA---- C:\WINDOWS\system32\kbdlt.dll
2009-01-08 21:30:39 ----RA---- C:\WINDOWS\system32\kbdest.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdycl.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdsl1.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdsl.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdro.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdpl1.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdpl.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdhu1.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdhu.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdcz2.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdcz1.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdcz.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\kbdcr.dll
2009-01-08 21:30:37 ----RA---- C:\WINDOWS\system32\KBDAL.DLL
2009-01-08 21:30:33 ----A---- C:\WINDOWS\system32\spxcoins.dll
2009-01-08 21:30:33 ----A---- C:\WINDOWS\system32\irclass.dll
2009-01-08 21:30:33 ----A---- C:\WINDOWS\system32\dgsetup.dll
2009-01-08 21:30:33 ----A---- C:\WINDOWS\system32\dgrpsetu.dll
2009-01-08 21:30:32 ----A---- C:\WINDOWS\system32\EqnClass.Dll
2009-01-08 21:30:30 ----N---- C:\WINDOWS\system32\CONFIG.TMP
2009-01-08 21:30:30 ----A---- C:\WINDOWS\TASKMAN.EXE
2009-01-08 21:30:30 ----A---- C:\WINDOWS\system32\batt.dll
2009-01-08 21:30:29 ----A---- C:\WINDOWS\notepad.exe
2009-01-08 21:30:25 ----A---- C:\WINDOWS\system32\storprop.dll
2009-01-08 21:30:12 ----ASH---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
2009-01-08 21:28:52 ----RA---- C:\WINDOWS\SET8.tmp
2009-01-08 21:28:47 ----RA---- C:\WINDOWS\SET4.tmp
2009-01-08 21:28:45 ----RA---- C:\WINDOWS\SET3.tmp
2009-01-08 21:28:38 ----D---- C:\WINDOWS\system32\CatRoot2
2009-01-08 21:28:38 ----D---- C:\WINDOWS\system32\CatRoot
2009-01-08 21:28:32 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-01-08 21:28:03 ----A---- C:\WINDOWS\setuplog.txt
2009-01-08 21:27:57 ----D---- C:\Dokumente und Einstellungen

======List of files/folders modified in the last 1 months======

2009-01-08 22:12:45 ----A---- C:\WINDOWS\win.ini
2009-01-08 21:30:50 ----A---- C:\WINDOWS\system.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-01-08 75072]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 EL90XBC;3Com EtherLink XL 90XB/C-Adaptertreiber; C:\WINDOWS\system32\DRIVERS\el90xbc5.sys [2001-08-17 66591]
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 SISNIC;SiS-PCI-Fast Ethernet- Adaptertreiber; C:\WINDOWS\system32\DRIVERS\sisnic.sys [2004-08-03 32768]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------


info.txt logfile of random's system information tool 1.05 2009-01-16 17:28:28

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (3.0.5)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.19)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
SFirm32-->MsiExec.exe /I{8685401C-2C9C-46CA-B142-B1F73D0F9B2E}
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe

=====HijackThis Backups=====

O20 - AppInit_DLLs: gvmcrs.dll

======Security center information======

AV: Avira AntiVir PersonalEdition

System event log

Computer Name: BUERO
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in BUERO geändert.

Record Number: 5
Source Name: EventLog
Time Written: 20090108214845.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial1 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 4
Source Name: Serial
Time Written: 20090108212822.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20090108212822.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090108212807.000000+060
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090108212807.000000+060
Event Type: Informationen
User:

Application event log

Computer Name: BUERO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090108220625.000000+060
Event Type: Informationen
User:

Computer Name: BUERO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090108220620.000000+060
Event Type: Informationen
User:

Computer Name: BUERO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090108214949.000000+060
Event Type: Informationen
User:

Computer Name: BUERO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090108214900.000000+060
Event Type: Informationen
User:

Computer Name: BUERO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090108214859.000000+060
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 4 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0402
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Alt 16.01.2009, 18:58   #7
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Logfile von Malware-Bytes Anti Malware


Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1659
Windows 5.1.2600 Service Pack 3

16.01.2009 18:56:36
mbam-log-2009-01-16 (18-56-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 71733
Laufzeit: 58 minute(s), 54 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\arehvlpp.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iifeeFWn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gvmcrs.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14878f8f-4c8e-4d3c-87e2-175c016ea7c0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{14878f8f-4c8e-4d3c-87e2-175c016ea7c0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljyqndu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c6e6b15-8323-4df6-9716-842e31e04d1b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{9c6e6b15-8323-4df6-9716-842e31e04d1b} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{14878f8f-4c8e-4d3c-87e2-175c016ea7c0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9c6e6b15-8323-4df6-9716-842e31e04d1b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\iifeefwn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iifeefwn -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gvmcrs.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJYqNDU.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifeeFWn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nWFeefii.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nWFeefii.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\arehvlpp.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pplvhera.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nrkvfkyj.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jykfvkrn.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\angelika\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\angelika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45UR0PYR\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBtSKEU.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nduunojn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lseowtoc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 16.01.2009, 19:42   #8
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


So hier das hoffentlich letzte Logfile *g*

Vielen Dank schonmal, ich werde dann morgen das gleiche noch mit dem anderen Rechner machen!

ComboFix 09-01-15.01 - angelika 2009-01-16 19:27:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.255.125 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\angelika\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\AutoRun.inf
c:\windows\system32\msjint35.dll
c:\windows\system32\tlkvypka.dll
c:\windows\system32\wlnfva.dll
c:\windows\system32\YJjilUvw.ini
c:\windows\system32\YJjilUvw.ini2

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-12-16 bis 2009-01-16 ))))))))))))))))))))))))))))))
.

2009-01-16 19:19 . 2009-01-16 19:20 <DIR> d-------- c:\programme\CCleaner
2009-01-16 17:48 . 2009-01-16 17:48 <DIR> d-------- c:\dokumente und einstellungen\angelika\Anwendungsdaten\Malwarebytes
2009-01-16 17:47 . 2009-01-16 17:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-16 17:47 . 2009-01-16 17:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-16 17:47 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-16 17:47 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-16 17:28 . 2009-01-16 17:28 <DIR> d-------- C:\rsit
2009-01-15 15:18 . 2009-01-15 15:18 <DIR> d-------- c:\programme\Trend Micro
2009-01-14 23:56 . 2009-01-16 18:56 <DIR> d-------- c:\dokumente und einstellungen\angelika\Anwendungsdaten\Desktopicon
2009-01-14 23:55 . 2009-01-15 00:00 <DIR> d-------- c:\programme\Unlocker
2009-01-14 19:50 . 2009-01-14 19:50 <DIR> d-------- C:\VundoFix Backups
2009-01-14 19:44 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-01-11 10:40 . 2009-01-11 10:40 <DIR> d-------- c:\programme\Bonjour
2009-01-11 10:39 . 2009-01-11 10:39 <DIR> d-------- c:\programme\Apple Software Update
2009-01-11 10:39 . 2009-01-11 10:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-01-11 10:14 . 2009-01-11 10:14 0 -rahs---- C:\khq
2009-01-10 15:37 . 2009-01-10 15:37 2,422 --a------ c:\windows\system32\wpa.bak
2009-01-10 15:33 . 2009-01-10 15:34 <DIR> d-------- c:\windows\system32\de-de
2009-01-10 15:33 . 2009-01-10 15:33 <DIR> d-------- c:\windows\system32\de
2009-01-10 15:33 . 2009-01-10 15:33 <DIR> d-------- c:\windows\system32\bits
2009-01-10 15:33 . 2009-01-10 15:33 <DIR> d-------- c:\windows\l2schemas
2009-01-10 15:23 . 2009-01-10 15:35 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-10 14:48 . 2009-01-16 19:13 <DIR> d-------- C:\SFIRM32
2009-01-10 14:48 . 1999-08-25 14:57 415,504 --------- c:\windows\system32\msrepl35.dll
2009-01-10 14:48 . 1998-04-24 00:00 24,848 --------- c:\windows\system32\msjter35.dll
2009-01-10 14:47 . 1998-01-23 13:20 305,664 --a------ c:\windows\IsUn0407.exe
2009-01-10 14:46 . 2009-01-10 14:46 <DIR> d-------- c:\dokumente und einstellungen\angelika\WINDOWS
2009-01-09 08:38 . 2004-08-03 22:41 1,309,184 --------- c:\windows\system32\drivers\mtlstrm.sys
2009-01-09 08:35 . 2004-08-04 00:38 701,952 --------- c:\windows\system32\drivers\ati2mtag.sys
2009-01-09 08:03 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-01-09 08:02 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-01-09 08:02 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-01-09 08:02 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-01-09 08:01 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-09 08:01 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-09 08:01 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
2009-01-09 07:58 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-09 07:57 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-09 07:57 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-09 07:57 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-09 07:57 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-09 07:57 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-09 07:56 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-09 07:55 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-09 07:55 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-09 07:50 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-08 23:04 . 2009-01-14 23:08 <DIR> d--h----- c:\windows\$hf_mig$
2009-01-08 23:04 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2009-01-08 23:01 . 2009-01-08 23:01 <DIR> d-------- c:\programme\Avira
2009-01-08 23:01 . 2009-01-08 23:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 05:56 --------- d-----w c:\programme\Mozilla Thunderbird
2009-01-08 21:58 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-08 21:50 --------- d-----w c:\dokumente und einstellungen\angelika\Anwendungsdaten\Talkback
2009-01-08 21:47 --------- d-----w c:\dokumente und einstellungen\angelika\Anwendungsdaten\Thunderbird
2009-01-08 21:13 --------- d-----w c:\programme\microsoft frontpage
2009-01-08 21:09 --------- d-----w c:\programme\Online-Dienste
2009-01-08 21:08 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-12-12 10:11 65,536 ----a-w c:\windows\system32\jdns_sd.dll
2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SfWinStartInfo"="c:\sfirm32\sfWinStartupInfo.exe" [2007-12-05 112000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
SFIRM32 Automat.lnk - c:\sfirm32\SFAutomat.exe [2008-06-12 341376]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ed06fc0-e26b-11dd-a959-000ae62c3dff}]
\Shell\AutoRun\command - F:\tydoxc.exe
\Shell\explore\Command - F:\tydoxc.exe
\Shell\open\Command - F:\tydoxc.exe
.
Inhalt des "geplante Tasks" Ordners

2009-01-16 c:\windows\Tasks\lfyqzmir.job
- c:\windows\system32\rundll32.exe [2008-04-14 03:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{AE2E0DB2-A8AE-4709-B2FB-1FF2CE8DDE62} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\angelika\Anwendungsdaten\Mozilla\Firefox\Profiles\xp7dw9jf.default\
FF - prefs.js: browser.startup.homepage - hxxps://hotelservice.hrs.com

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 19:28:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-16 19:31:34
ComboFix-quarantined-files.txt 2009-01-16 18:31:08

Vor Suchlauf: 9.496.301.568 Bytes frei
Nach Suchlauf: 9,486,368,768 Bytes frei

150 --- E O F --- 2009-01-11 02:02:13

Gruß Marcel

Alt 16.01.2009, 22:12   #9
Sunny
Administrator
> Competence Manager
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


So, das wird jetzt das letzte Logfile werden:

Erstellung eines Hijacklog

Bestehen denn noch Probleme mit dem System bzw. gibt es noch irgendwo Klärungsbedarf?!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 17.01.2009, 14:16   #10
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Hi,

hier noch das letzte Logfile. Also bisher gab es jetzt keine Probleme mehr mit dem System. Ich werde jetzt das ganze noch mit dem anderen Rechner machen und die Logfiles hier posten falls dir das ok ist?

Auf jeden Fall schonmal ein rießiges Dankeschön für die ausführliche und so gut funktionierende Hilfe!!




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:11:34, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 3201 bytes

Alt 17.01.2009, 14:37   #11
Sunny
Administrator
> Competence Manager
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Das letzte Hijacklog sieht soweit ganz gut aus, auch das was Combofix entfernt hat.

Dann poste mal alle weiteren Logs vom zweiten Rechner!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 17.01.2009, 14:55   #12
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


Sehr cool danke!!

Hier die ersten Logs:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Maier at 2009-01-17 14:48:54
Microsoft Windows XP Professional Service Pack 3
System drive C: has 3 GB (33%) free of 10 GB
Total RAM: 478 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:00, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\csrcs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maier\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Maier.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: {10beb00e-e61b-ac7a-e354-4156a1646f54} - {45f6461a-6514-453e-a7ca-b16ee00beb01} - C:\WINDOWS\system32\jjtusw.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\vtUnnopp.dll (file missing)
O2 - BHO: (no name) - {CE266E01-1D8A-4EA3-B601-CFEED7AE65A5} - C:\WINDOWS\system32\wvUmjJcY.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan
O4 - HKLM\..\Run: [9464ce99] rundll32.exe "C:\WINDOWS\system32\vwgfjmsc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cogad] "C:\Dokumente und Einstellungen\Maier\Anwendungsdaten\cogad\cogad.exe" 61A847B5BBF72810369239466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: jjtusw.dll
O20 - Winlogon Notify: vtUnnopp - vtUnnopp.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe

--
End of file - 5188 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\tblaixxd.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{45f6461a-6514-453e-a7ca-b16ee00beb01}]
C:\WINDOWS\system32\jjtusw.dll [2009-01-14 129024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
C:\WINDOWS\system32\vtUnnopp.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE266E01-1D8A-4EA3-B601-CFEED7AE65A5}]
C:\WINDOWS\system32\wvUmjJcY.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-01-24 7311360]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-01-24 86016]
"avgnt"=C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"OrderReminder"=C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe [2005-03-18 98304]
"ToolBoxFX"=C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe [2007-03-26 53248]
"9464ce99"=C:\WINDOWS\system32\vwgfjmsc.dll [2009-01-14 72704]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"csrcs"=C:\WINDOWS\system32\csrcs.exe [2004-08-04 583998]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"cogad"=C:\Dokumente und Einstellungen\Maier\Anwendungsdaten\cogad\cogad.exe 61A847B5BBF72810369239466188719AB689201522886B092CBD44BD8689220221DD3257 []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9464ce99]
C:\WINDOWS\system32\rrqqrqtn.dll []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
C:\WINDOWS\system32\HDAShCut.exe [2004-10-27 61952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2005-02-16 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe [2006-02-17 270336]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2005-09-07 716800]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
C:\Programme\Analog Devices\Core\smax4pnp.exe [2005-05-20 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinVNC4"=2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="jjtusw.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtUnnopp]
vtUnnopp.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=C:\WINDOWS\system32\vtUnnopp.dll []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
C:\WINDOWS\system32\wvUmjJcY

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\RpcSandraSrv.exe"="C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb1cf310-caf8-11dd-a429-001a92246aae}]
shell\AutoRun\command - H:\tydoxc.exe
shell\explore\command - H:\tydoxc.exe
shell\open\command - H:\tydoxc.exe


======List of files/folders created in the last 1 months======

2009-01-17 14:48:54 ----D---- C:\rsit
2009-01-14 20:20:59 ----A---- C:\WINDOWS\system32\jjtusw.dll
2009-01-14 20:20:57 ----A---- C:\WINDOWS\system32\vmrctwgt.dll
2009-01-14 20:20:55 ----SH---- C:\WINDOWS\system32\csmjfgwv.ini
2009-01-14 20:20:55 ----A---- C:\WINDOWS\system32\vwgfjmsc.dll
2009-01-14 20:17:38 ----D---- C:\VundoFix Backups
2009-01-14 20:17:38 ----A---- C:\VundoFix.txt
2009-01-14 14:21:47 ----D---- C:\INFECTED
2009-01-13 20:24:02 ----A---- C:\WINDOWS\system32\tpyboa.dll
2009-01-13 20:24:00 ----A---- C:\WINDOWS\system32\mglgicax.dll
2009-01-13 20:21:05 ----SH---- C:\WINDOWS\system32\irtqnccc.ini
2009-01-12 20:23:06 ----SH---- C:\WINDOWS\system32\tvgguntp.ini
2009-01-12 20:20:07 ----A---- C:\WINDOWS\system32\iwetvj.dll
2009-01-12 20:20:06 ----A---- C:\WINDOWS\system32\ssrgynbd.dll
2009-01-12 17:35:11 ----A---- C:\WINDOWS\system32\sd4uk3.exe
2009-01-11 20:20:09 ----A---- C:\WINDOWS\system32\ezxrfl.dll
2009-01-11 20:20:06 ----A---- C:\WINDOWS\system32\wpkqnbkx.dll
2009-01-11 20:17:09 ----SH---- C:\WINDOWS\system32\ultdvvuq.ini
2009-01-11 10:23:12 ----D---- C:\WINDOWS\Prefetch
2009-01-10 20:17:37 ----A---- C:\WINDOWS\system32\iwyxyy.dll
2009-01-10 20:17:36 ----A---- C:\WINDOWS\system32\nmkkvxij.dll
2009-01-10 20:17:04 ----SH---- C:\WINDOWS\system32\ntqrqqrr.ini
2009-01-10 20:15:46 ----A---- C:\WINDOWS\system32\9f470ae7-.txt
2009-01-10 20:14:31 ----ASH---- C:\WINDOWS\system32\YcJjmUvw.ini2
2009-01-10 20:14:31 ----ASH---- C:\WINDOWS\system32\YcJjmUvw.ini
2009-01-10 20:08:14 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\cogad
2009-01-10 15:31:55 ----HDC---- C:\WINDOWS\$NtUninstallKB960714$
2009-01-10 15:31:49 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-01-10 15:31:41 ----HDC---- C:\WINDOWS\$NtUninstallKB958215$
2009-01-10 15:31:35 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-01-10 15:31:30 ----HDC---- C:\WINDOWS\$NtUninstallKB957095$
2009-01-10 15:31:22 ----HDC---- C:\WINDOWS\$NtUninstallKB956841$
2009-01-10 15:30:52 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-01-10 15:30:22 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-01-10 15:30:14 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-01-10 15:30:09 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-01-10 15:30:03 ----HDC---- C:\WINDOWS\$NtUninstallKB954211$
2009-01-10 15:29:57 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-01-10 15:29:51 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-01-10 15:29:46 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2009-01-10 15:29:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-01-10 15:29:34 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-01-10 15:29:28 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-01-10 15:29:22 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-01-10 15:29:17 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-01-10 15:29:12 ----HDC---- C:\WINDOWS\$NtUninstallKB938464$
2009-01-10 15:24:52 ----D---- C:\WINDOWS\system32\de-de
2009-01-10 15:24:50 ----D---- C:\WINDOWS\l2schemas
2009-01-10 15:24:49 ----D---- C:\WINDOWS\system32\de
2009-01-10 15:24:49 ----D---- C:\WINDOWS\system32\bits
2009-01-10 15:22:06 ----D---- C:\WINDOWS\ServicePackFiles
2009-01-10 15:20:22 ----D---- C:\WINDOWS\network diagnostic
2009-01-10 15:17:34 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-01-09 07:32:48 ----D---- C:\Programme\Trend Micro
2009-01-08 20:51:01 ----A---- C:\WINDOWS\NeroDigital.ini
2009-01-08 20:49:18 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$
2009-01-08 20:49:13 ----HDC---- C:\WINDOWS\$NtUninstallKB952954_0$
2009-01-08 20:49:05 ----HDC---- C:\WINDOWS\$NtUninstallKB946648_0$
2009-01-08 20:49:00 ----HDC---- C:\WINDOWS\$NtUninstallKB956803_0$
2009-01-08 20:44:06 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-01-08 20:44:00 ----HDC---- C:\WINDOWS\$NtUninstallKB956391$
2009-01-08 20:43:55 ----HDC---- C:\WINDOWS\$NtUninstallKB957095_0$
2009-01-08 20:43:44 ----HDC---- C:\WINDOWS\$NtUninstallKB958215_0$
2009-01-08 20:42:36 ----A---- C:\WINDOWS\system32\MRT.exe
2009-01-08 20:42:31 ----HDC---- C:\WINDOWS\$NtUninstallKB950974_0$
2009-01-08 20:42:26 ----HDC---- C:\WINDOWS\$NtUninstallKB951698_0$
2009-01-08 20:42:19 ----HDC---- C:\WINDOWS\$NtUninstallKB954211_0$
2009-01-08 20:42:08 ----HDC---- C:\WINDOWS\$NtUninstallKB956841_0$
2009-01-08 20:41:58 ----HDC---- C:\WINDOWS\$NtUninstallKB960714_0$
2009-01-08 20:41:52 ----HDC---- C:\WINDOWS\$NtUninstallKB950762_0$
2009-01-08 20:41:46 ----HDC---- C:\WINDOWS\$NtUninstallKB957097_0$
2009-01-08 20:41:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952287_0$
2009-01-08 20:41:35 ----HDC---- C:\WINDOWS\$NtUninstallKB951066_0$
2009-01-08 20:41:27 ----HDC---- C:\WINDOWS\$NtUninstallKB938464_0$
2009-01-08 20:40:29 ----HDC---- C:\WINDOWS\$NtUninstallKB958644_0$
2009-01-08 20:40:23 ----HDC---- C:\WINDOWS\$NtUninstallKB955069_0$
2009-01-08 20:40:18 ----HDC---- C:\WINDOWS\$NtUninstallKB956802_0$
2009-01-08 20:40:10 ----D---- C:\Programme\MSXML 4.0
2009-01-08 20:39:38 ----HDC---- C:\WINDOWS\$NtUninstallKB944338-v2$
2009-01-08 14:27:40 ----A---- C:\WINDOWS\system32\TwnLib20.dll
2009-01-08 14:27:40 ----A---- C:\WINDOWS\system32\picn20.dll
2009-01-08 14:27:39 ----A---- C:\WINDOWS\system32\ImagXpr5.dll
2009-01-08 14:27:39 ----A---- C:\WINDOWS\system32\imagx5.dll
2009-01-08 14:27:39 ----A---- C:\WINDOWS\system32\imagr5.dll
2009-01-08 14:27:38 ----D---- C:\Programme\Gemeinsame Dateien\Ahead
2009-01-08 14:27:38 ----A---- C:\WINDOWS\system32\NeroCheck.exe
2009-01-08 14:27:34 ----D---- C:\Programme\Ahead
2009-01-08 13:35:46 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-01-08 13:35:21 ----HDC---- C:\WINDOWS\$NtUninstallKB954600_0$
2009-01-08 13:34:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2009-01-08 13:19:53 ----D---- C:\WINDOWS\system32\PreInstall
2009-01-08 13:19:51 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-01-08 13:19:51 ----HD---- C:\WINDOWS\$hf_mig$
2009-01-08 13:19:49 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-01-08 13:15:03 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2008-12-22 13:29:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-12-22 13:28:42 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-12-22 13:28:42 ----D---- C:\Programme\Adobe

======List of files/folders modified in the last 1 months======

2009-01-17 14:47:16 ----D---- C:\Programme\Mozilla Firefox
2009-01-17 14:47:11 ----D---- C:\WINDOWS\system32
2009-01-17 14:47:06 ----D---- C:\WINDOWS\system32\CatRoot2
2009-01-16 23:35:25 ----D---- C:\WINDOWS\Temp
2009-01-16 23:35:15 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2009-01-16 23:35:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-01-15 15:09:44 ----D---- C:\WINDOWS
2009-01-15 15:08:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-01-14 22:50:52 ----D---- C:\WINDOWS\system32\drivers
2009-01-14 22:47:25 ----SH---- C:\boot.ini
2009-01-14 22:47:25 ----A---- C:\WINDOWS\win.ini
2009-01-14 22:47:25 ----A---- C:\WINDOWS\system.ini
2009-01-14 22:30:16 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-01-14 22:13:45 ----D---- C:\Geschäft
2009-01-14 12:03:43 ----D---- C:\WINDOWS\system32\Restore
2009-01-11 10:38:14 ----A---- C:\WINDOWS\hpbvnstp.ini
2009-01-11 10:37:41 ----HD---- C:\WINDOWS\inf
2009-01-11 10:37:37 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-01-11 10:34:10 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml24.tmp
2009-01-11 10:34:10 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml23.tmp
2009-01-11 10:34:10 ----A---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xml22.tmp
2009-01-11 10:25:57 ----SHD---- C:\WINDOWS\Installer
2009-01-11 10:25:57 ----HD---- C:\Config.Msi
2009-01-11 10:25:56 ----A---- C:\WINDOWS\OEWABLog.txt
2009-01-11 10:24:45 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-01-11 10:23:55 ----A---- C:\WINDOWS\setuplog.txt
2009-01-11 10:22:56 ----RSD---- C:\WINDOWS\Fonts
2009-01-11 10:22:56 ----D---- C:\WINDOWS\system32\wbem
2009-01-11 10:22:56 ----D---- C:\WINDOWS\system32\Setup
2009-01-11 10:22:56 ----D---- C:\WINDOWS\AppPatch
2009-01-10 20:08:10 ----SD---- C:\WINDOWS\Tasks
2009-01-10 15:35:06 ----D---- C:\WINDOWS\security
2009-01-10 15:33:23 ----D---- C:\WINDOWS\system32\CatRoot
2009-01-10 15:31:56 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-01-10 15:29:18 ----D---- C:\Programme\Messenger
2009-01-10 15:25:22 ----D---- C:\WINDOWS\WinSxS
2009-01-10 15:25:18 ----D---- C:\Programme\Windows Media Player
2009-01-10 15:25:16 ----D---- C:\WINDOWS\Help
2009-01-10 15:25:07 ----D---- C:\WINDOWS\ehome
2009-01-10 15:25:05 ----D---- C:\WINDOWS\system32\inetsrv
2009-01-10 15:25:05 ----D---- C:\WINDOWS\ime
2009-01-10 15:24:51 ----D---- C:\WINDOWS\system32\usmt
2009-01-10 15:24:50 ----D---- C:\Programme\Internet Explorer
2009-01-10 15:24:49 ----D---- C:\WINDOWS\PeerNet
2009-01-10 15:24:49 ----D---- C:\Programme\Movie Maker
2009-01-10 15:21:56 ----D---- C:\WINDOWS\system32\npp
2009-01-10 15:21:55 ----D---- C:\WINDOWS\msagent
2009-01-10 15:21:54 ----D---- C:\WINDOWS\srchasst
2009-01-10 15:21:53 ----D---- C:\Programme\NetMeeting
2009-01-10 15:21:51 ----D---- C:\WINDOWS\system32\Com
2009-01-10 15:21:50 ----D---- C:\Programme\Windows NT
2009-01-10 15:21:49 ----D---- C:\Programme\Outlook Express
2009-01-10 15:21:46 ----D---- C:\Programme\Gemeinsame Dateien\System
2009-01-10 15:21:33 ----D---- C:\WINDOWS\system32\oobe
2009-01-10 15:21:31 ----D---- C:\WINDOWS\system
2009-01-10 15:19:31 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-01-09 07:32:48 ----RD---- C:\Programme
2009-01-08 20:42:38 ----D---- C:\WINDOWS\Debug
2009-01-08 20:41:40 ----D---- C:\WINDOWS\Registration
2009-01-08 20:41:06 ----RSD---- C:\WINDOWS\assembly
2009-01-08 14:27:38 ----D---- C:\Programme\Gemeinsame Dateien
2009-01-08 13:15:41 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-22 13:30:41 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Adobe

Alt 17.01.2009, 14:56   #13
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2005-03-09 43008]
R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-11-26 75072]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2005-10-05 141312]
R3 AEAudioService;AEAudio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2005-03-04 127872]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 Dot4Scan;Scan Class Driver for IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Scan.sys [2001-08-17 8704]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HPFXBULK;HPFXBULK; C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-04-04 9344]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-10-21 49920]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-10-21 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-10-21 21568]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-01-24 3535520]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-02-17 34176]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-02-17 13056]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2005-08-11 393088]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2008-04-13 206976]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-10-27 145920]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\WNt500x86\Sandra.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-11-26 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-11-26 151297]
R2 ForcewareWebInterface;Forceware Web Interface; C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe [2006-02-17 20543]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 nSvcIp;ForceWare IP service; C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe [2006-02-17 127035]
R2 nSvcLog;ForceWare user log service; C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe [2006-02-17 61503]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-01-24 131139]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service; C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe [2008-11-03 98488]
S4 ForceWare Intelligent Application Manager (IAM);ForceWare Intelligent Application Manager (IAM); C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe [2006-02-17 139264]
S4 WinVNC4;VNC Server Version 4; C:\Programme\RealVNC\VNC4\WinVNC4.exe [2005-03-11 455632]

-----------------EOF-----------------


Info.txt

info.txt logfile of random's system information tool 1.05 2009-01-17 14:49:02

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP BiDi Channel Components Installer-->MsiExec.exe /I{F0F4DAC1-60DC-4D01-8BD9-DB8DA05A8A0F}
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Athlon 64 Processor Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7
Avira AntiVir Personal - Free Antivirus-->C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Customer Participation Program 8.0-->C:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP LaserJet 3050/3052/3055/3390/3392 4.0-->C:\Programme\HP\Digital Imaging\{63B8035B-0743-45d3-A38D-B15B88F63EF7}\setup\hpzscr01.exe -datfile hppscr02.dat -onestop -forcereboot
HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}
LaserJet 1020 series-->C:\Programme\Zenographics\{4247522F-550E-4993-A731-B5C0E3EBF0CD}\setup.exe -u "HPLJInstaller.dll=Hplj1020.inf"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Mozilla Firefox (2.0.0.20)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA ForceWare Network Access Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{1F6423DE-7959-4178-80E0-023C7EAA5347} /l1031
OrderReminder HP LaserJet 1020-->C:\Programme\Hewlett-Packard\OrderReminder\uninstall\hpuninstaller.exe hp_LaserJet_1020
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
SiSoftware Sandra Lite 2009.SP1-->"C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\unins000.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x7 -removeonly
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
VNC Free Edition 4.1.1-->"C:\Programme\RealVNC\VNC4\unins000.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe

=====HijackThis Backups=====

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)
FW: ActiveArmor Firewall (disabled)

System event log

Computer Name: MAIER
Event Code: 10016
Message: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{BC866CF2-5486-41F7-B46B-9AA49CF3EBB1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Record Number: 5015
Source Name: DCOM
Time Written: 20090104213901.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: MAIER
Event Code: 10016
Message: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{BC866CF2-5486-41F7-B46B-9AA49CF3EBB1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Record Number: 5014
Source Name: DCOM
Time Written: 20090104211931.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: MAIER
Event Code: 10016
Message: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{BC866CF2-5486-41F7-B46B-9AA49CF3EBB1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Record Number: 5013
Source Name: DCOM
Time Written: 20090104211930.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: MAIER
Event Code: 10016
Message: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{BC866CF2-5486-41F7-B46B-9AA49CF3EBB1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Record Number: 5012
Source Name: DCOM
Time Written: 20090104210001.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: MAIER
Event Code: 10016
Message: Durch die Berechtigungseinstellungen (Computerstandard) wird der SID (S-1-5-19) für Benutzer NT-AUTORITÄT\LOKALER DIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID
{BC866CF2-5486-41F7-B46B-9AA49CF3EBB1}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Record Number: 5011
Source Name: DCOM
Time Written: 20090104210000.000000+060
Event Type: Fehler
User: NT-AUTORITÄT\LOKALER DIENST

Application event log

Computer Name: MAIER
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20080930170530.000000+120
Event Type: Informationen
User:

Computer Name: MAIER
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20080930170527.000000+120
Event Type: Informationen
User:

Computer Name: MAIER
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20080930165858.000000+120
Event Type: Informationen
User:

Computer Name: MAIER
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20080930165842.000000+120
Event Type: Informationen
User:

Computer Name: MAIER
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20080930165841.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 79 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4f02
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"SAN_DIR"=C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1

-----------------EOF-----------------

Alt 17.01.2009, 16:00   #14
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


malwarebytes anit-malware:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1659
Windows 5.1.2600 Service Pack 3

17.01.2009 15:59:44
mbam-log-2009-01-17 (15-59-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 89002
Laufzeit: 50 minute(s), 47 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\vwgfjmsc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jjtusw.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{45f6461a-6514-453e-a7ca-b16ee00beb01} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{45f6461a-6514-453e-a7ca-b16ee00beb01} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtunnopp (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{45f6461a-6514-453e-a7ca-b16ee00beb01} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9464ce99 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jjtusw.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vtUnnopp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vwgfjmsc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\csmjfgwv.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09MZ4DE7\index[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09MZ4DE7\upd105320[2] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHINO5AR\CAH4YTT3 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHINO5AR\luxe[1].exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ezxrfl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwetvj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwyxyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssrgynbd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmkkvxij.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpkqnbkx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vmrctwgt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Alt 17.01.2009, 16:20   #15
marzl
 
Probleme mit TR/Vundo und TR/crypt.Xpack - Standard

Probleme mit TR/Vundo und TR/crypt.Xpack


So hier nun noch das ComboFix Log...


ComboFix 09-01-16.03 - ... 2009-01-17 16:09:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.478.233 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Maier\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: ActiveArmor Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AutoRun.inf
c:\windows\system32\irtqnccc.ini
c:\windows\system32\mglgicax.dll
c:\windows\system32\ntqrqqrr.ini
c:\windows\system32\sd4uk3.exe
c:\windows\system32\tpyboa.dll
c:\windows\system32\tvgguntp.ini
c:\windows\system32\ultdvvuq.ini
c:\windows\system32\YcJjmUvw.ini
c:\windows\system32\YcJjmUvw.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-17 bis 2009-01-17 ))))))))))))))))))))))))))))))
.

2009-01-17 16:06 . 2009-01-17 16:06 <DIR> d-------- c:\programme\CCleaner
2009-01-17 14:58 . 2009-01-17 14:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-17 14:58 . 2009-01-17 14:58 <DIR> d-------- c:\dokumente und einstellungen\Maier\Anwendungsdaten\Malwarebytes
2009-01-17 14:58 . 2009-01-17 14:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-17 14:58 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-17 14:58 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-17 14:48 . 2009-01-17 14:49 <DIR> d-------- C:\rsit
2009-01-14 20:17 . 2009-01-14 20:17 <DIR> d-------- C:\VundoFix Backups
2009-01-14 14:21 . 2009-01-14 14:40 <DIR> d-------- C:\INFECTED
2009-01-11 10:38 . 2008-09-30 22:26 3,667 --a------ c:\windows\hpbvnstp.hi1
2009-01-11 10:38 . 2008-09-30 22:26 1,207 --a------ c:\windows\hpbvnstp.bu1
2009-01-10 20:08 . 2009-01-11 10:26 <DIR> d-------- c:\dokumente und einstellungen\Maier\Anwendungsdaten\cogad
2009-01-10 15:24 . 2009-01-10 15:24 <DIR> d-------- c:\windows\system32\de-de
2009-01-10 15:24 . 2009-01-10 15:24 <DIR> d-------- c:\windows\system32\de
2009-01-10 15:24 . 2009-01-10 15:24 <DIR> d-------- c:\windows\system32\bits
2009-01-10 15:24 . 2009-01-10 15:24 <DIR> d-------- c:\windows\l2schemas
2009-01-10 15:22 . 2009-01-10 15:25 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-09 07:32 . 2009-01-09 07:32 <DIR> d-------- c:\programme\Trend Micro
2009-01-08 20:54 . 2009-01-08 20:54 0 -rahs---- C:\khq
2009-01-08 20:51 . 2009-01-08 20:51 49 --a------ c:\windows\NeroDigital.ini
2009-01-08 20:40 . 2009-01-08 20:40 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-08 14:27 . 2009-01-08 14:27 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-01-08 14:27 . 2009-01-08 14:27 <DIR> d-------- c:\programme\Ahead
2009-01-08 14:27 . 2001-07-06 14:41 569,344 --a------ c:\windows\system32\imagr5.dll
2009-01-08 14:27 . 2001-07-06 12:44 544,768 --a------ c:\windows\system32\imagx5.dll
2009-01-08 14:27 . 2001-07-06 18:24 283,920 --a------ c:\windows\system32\ImagXpr5.dll
2009-01-08 14:27 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2009-01-08 14:27 . 2004-03-03 21:30 125,184 --a------ c:\windows\system32\drivers\imagesrv.sys
2009-01-08 14:27 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
2009-01-08 14:27 . 2001-06-26 08:15 38,912 --a------ c:\windows\system32\picn20.dll
2009-01-08 14:27 . 2004-03-03 21:30 5,504 --a------ c:\windows\system32\drivers\imagedrv.sys
2009-01-08 14:07 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys
2009-01-08 14:07 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-01-08 14:06 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-01-08 14:06 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2009-01-08 14:06 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2009-01-08 14:06 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2009-01-08 14:06 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-08 14:06 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
2009-01-08 14:03 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-08 14:02 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-08 14:02 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-08 14:02 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-08 14:02 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-08 14:01 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-01-08 14:01 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-08 14:01 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-01-08 13:59 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-08 13:55 . 2004-08-04 13:00 381,425 -----c--- c:\windows\system32\dllcache\copycd.wmv
2009-01-08 13:55 . 2004-08-04 13:00 184,109 -----c--- c:\windows\system32\dllcache\compact.wmz
2009-01-08 13:55 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty
2009-01-08 13:55 . 2004-08-04 13:00 9,585 -----c--- c:\windows\system32\dllcache\controls.css
2009-01-08 13:55 . 2004-08-04 13:00 8,298 -----c--- c:\windows\system32\dllcache\contents.htm
2009-01-08 13:55 . 2004-08-04 13:00 6,878 -----c--- c:\windows\system32\dllcache\controls.js
2009-01-08 13:55 . 2004-08-04 13:00 999 -----c--- c:\windows\system32\dllcache\bktrh.gif
2009-01-08 13:55 . 2004-08-04 13:00 773 -----c--- c:\windows\system32\dllcache\cnth.gif
2009-01-08 13:55 . 2004-08-04 13:00 773 -----c--- c:\windows\system32\dllcache\cnt.gif
2009-01-08 13:55 . 2004-08-04 13:00 772 -----c--- c:\windows\system32\dllcache\cntd.gif
2009-01-08 13:55 . 2004-08-04 13:00 760 -----c--- c:\windows\system32\dllcache\cloapph.gif
2009-01-08 13:55 . 2004-08-04 13:00 717 -----c--- c:\windows\system32\dllcache\cloapp.gif
2009-01-08 13:19 . 2009-01-08 20:49 <DIR> d--h----- c:\windows\$hf_mig$
2009-01-08 13:15 . 2009-01-08 13:15 <DIR> d---s---- c:\dokumente und einstellungen\Maier\UserData
2008-12-22 13:28 . 2008-12-22 13:29 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 22:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-26 17:29 --------- d-----w c:\programme\SiSoftware
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-12-22 18:19 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-22 18:19 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-22 18:19 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-22 18:19 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-22 18:19 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"OrderReminder"="c:\programme\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2005-03-18 98304]
"ToolBoxFX"="c:\programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2007-03-26 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=jjtusw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 22:11 49152 c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]
--a------ 2006-02-17 09:40 270336 c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2005-09-07 14:35 716800 c:\programme\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
-ra------ 2005-05-20 02:11 925696 c:\programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--------- 2004-10-27 14:21 61952 c:\windows\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-01-24 11:15 1519616 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinVNC4"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP1\\RpcAgentSrv.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP1\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe [2008-11-26 98488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb1cf310-caf8-11dd-a429-001a92246aae}]
\Shell\AutoRun\command - H:\tydoxc.exe
\Shell\explore\Command - H:\tydoxc.exe
\Shell\open\Command - H:\tydoxc.exe
.
Inhalt des "geplante Tasks" Ordners

2009-01-17 c:\windows\Tasks\tblaixxd.job
- c:\windows\system32\rundll32.exe [2008-04-14 03:22]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{CE266E01-1D8A-4EA3-B601-CFEED7AE65A5} - (no file)
MSConfigStartUp-9464ce99 - c:\windows\system32\rrqqrqtn.dll


.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
FF - ProfilePath - c:\dokumente und einstellungen\Maier\Anwendungsdaten\Mozilla\Firefox\Profiles\yulqpde4.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxps://hotelservice.hrs.com/hsv2/Login.jsp?a=setLanguage&language=de
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 16:11:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(720)
c:\windows\system32\nvappfilter.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-17 16:13:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-17 15:12:59

Vor Suchlauf: 3.458.711.552 Bytes frei
Nach Suchlauf: 3,405,008,896 Bytes frei

202 --- E O F --- 2009-01-10 14:32:00

Antwort
Seite 1 von 2 1 2

Themen zu Probleme mit TR/Vundo und TR/crypt.Xpack
.dll dateien, antivir, antivirus, avira, bho, bonjour, entfernen, excel, firefox, frage, gen 2, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, locker, log files, logfile, mozilla, problem, programm, rescue cd, scan, security, server, sfirm, software, system 32, tr/crypt.xpack, tr/crypt.xpack.ge, tr/crypt.xpack.gen., trojaner, virus, virustotal.com, windows xp


« Trojaner lassen sich nicht löschen, u.a. TR/ATRAPS.Gen, TR/Crypt.Xpack.Gen | System beschädigt nach Viren/Trojaner-Befall »


Ähnliche Themen: Probleme mit TR/Vundo und TR/crypt.Xpack


  1. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  2. TR/Crypt.XPACK.Gen und TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2009 (1)
  3. Vundo.Gen & Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (16)
  4. Vundo / TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (11)
  5. Vundo und crypt.XPACK.gen
    Log-Analyse und Auswertung - 11.09.2008 (6)
  6. TR/Crypt.XPACK.Gen und Vundo.Gen
    Log-Analyse und Auswertung - 06.09.2008 (8)
  7. TR/Vundo.Gen und TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 31.08.2008 (2)
  8. Hilfe bei TR/Vundo und TR/Crypt.XPACK
    Log-Analyse und Auswertung - 25.08.2008 (5)
  9. TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  10. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)
  11. TR/Crypt.XPACK.Gen & TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (26)
  12. Hilfe ! *tr/vundo.gen und tr/crypt.xpack.gen*
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (3)
  13. TR/Crypt.XPACK.Gen, TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (13)
  14. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  15. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  16. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  17. Vundo.Gen + Crypt.XPACK.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (36)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Probleme mit TR/Vundo und TR/crypt.Xpack - Hi, ich habe ein Problem mit meinem Rechner, genauer gesagt mit 2 Rechnern, die in einem Netzwerk sind. Vor einiger Zeit hat avira Antivir gemeldet, dass ich einen Trojaner auf - Probleme mit TR/Vundo und TR/crypt.Xpack...
Archiv
Du betrachtest: Probleme mit TR/Vundo und TR/crypt.Xpack auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130