Trojaner-Board - IE öffn sich, VIrus immer noch da!?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE öffn sich, VIrus immer noch da!? (https://www.trojaner-board.de/56058-ie-oeffn-virus-immer-noch.html)

IE öffn sich, VIrus immer noch da!?

Aloha,

folgendes Problem hab ich seit vorgestern. Irgendwie muss ich mir was eingefangen haben. Erste Vermutungen waren gstern laut Bit Defender Online Scan TR/Vundo.FAT, den aber Bit Defender nciht wirklich loeschen konnte.
Also VundoFix geholt und drueber ziehen lassen, auch kein wirklicher Erfolg, weiler ihn ab den zweiten Mal nicht mehr erkannte.
HijackThis natuerlich immer wieder mal drueber laufen lassen.
Danach nochn bisschen mit Regrun rumexperimentert, aber nja auch nur maeßig erfolg.
Komischerweiser dchte ich aber gestern, das Problem waere weg, daauch Hijackhis nichts mher anzeigt und ich somit keine Werbung mehr hatte die sich ungewollt immer wieder im IE öffnet - BIs heute.
Auf eimal ( war schon im Internet ne laengere Zeit ) beginnt der selbeKram von Vorne.
HijackTHis eine Dateigefunden,geloescht trotzdem noch.
Neuster Virus den ich dann hatte( den aber Avira Antivir geloescht hat ) war EXP/Flash.gen
Nunja hir der aktuelle HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:09:19, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe
H:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Java\jre1.6.0_05\bin\jusched.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
H:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\MSN Messenger\MsnMsgr.Exe
H:\Programme\ICQ6\ICQ.exe
H:\Programme\PC Connectivity Solution\ServiceLayer.exe
H:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
H:\Programme\Windows Media Player\wmplayer.exe
H:\WINDOWS\system32\rundll32.exe
H:\Programme\Windows Media Player\WMPNSCFG.exe
H:\Programme\MSN Messenger\usnsvc.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [Hotplug] H:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe
O4 - HKLM\..\Run: [SiSRaid] H:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickFinder Scheduler] "H:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [NBKeyScan] "H:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] H:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [PCSuiteTrayApplication] H:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\jxufwqbw.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [updateMgr] "H:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ICQ] "H:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Gadu-Gadu] "H:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Öffnen mit WordPerfect - H:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - H:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - H:\Programme\PPLive\PPLive.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.bundesliga.de
O15 - Trusted Zone: h**p://travianer.sevengames.de
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE453089-534E-46C9-9C9D-07DA4B35F194}: NameServer = 217.237.149.142 217.237.150.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - H:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7133 bytes

wenn ihr damit iwie was anfangen koennt, waere echt super!

danke schon mal,
daniel

sorry hatte iwie davor nicht hingehauen : D

Code:

Logfile of Trend Micro HiJackThis v2.0.2

Scan saved at 09:09:19, on 16.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\system32\spoolsv.exe

H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\svchost.exe

H:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe

H:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

H:\WINDOWS\system32\wscntfy.exe

H:\WINDOWS\system32\RUNDLL32.EXE

H:\WINDOWS\SOUNDMAN.EXE

H:\Programme\Java\jre1.6.0_05\bin\jusched.exe

H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

H:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe

H:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Programme\MSN Messenger\MsnMsgr.Exe

H:\Programme\ICQ6\ICQ.exe

H:\Programme\PC Connectivity Solution\ServiceLayer.exe

H:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe

H:\Programme\Windows Media Player\wmplayer.exe

H:\WINDOWS\system32\rundll32.exe

H:\Programme\Windows Media Player\WMPNSCFG.exe

H:\Programme\MSN Messenger\usnsvc.exe

H:\Programme\Internet Explorer\iexplore.exe

H:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

O4 - HKLM\..\Run: [Hotplug] H:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe

O4 - HKLM\..\Run: [SiSRaid] H:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.6.0_05\bin\jusched.exe "

O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickFinder Scheduler] "H:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"

O4 - HKLM\..\Run: [NBKeyScan] "H:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] H:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] H:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\jxufwqbw.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [updateMgr] "H:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [ICQ] "H:\Programme\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [Gadu-Gadu] "H:\Programme\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: Öffnen mit WordPerfect - H:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe

O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - H:\Programme\PPLive\PPLive.exe

O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - H:\Programme\PPLive\PPLive.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: h**p://*.bundesliga.de

O15 - Trusted Zone: h**p://travianer.sevengames.de

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE453089-534E-46C9-9C9D-07DA4B35F194}: NameServer = 217.237.149.142 217.237.150.205

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NBService - Nero AG - H:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - H:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - H:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

--

End of file - 7133 bytes

Hallo rastafai und

http://www.mysmilie.de/generator/ablage/156/257.png

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

so das is aus anti-mailware:

Code:

Malwarebytes' Anti-Malware 1.20

Datenbank Version: 957

Windows 5.1.2600 Service Pack 2
 

11:56:37 16.07.2008

mbam-log-7-16-2008 (11-56-37).txt
 

Scan Art: Komplett Scan (H:\|)

Objekte gescannt: 82159

Scan Dauer: 18 minute(s), 22 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 0

Infizierte Registrierungsschlüssel: 7

Infizierte Registrierungswerte: 0

Infizierte Datei Objekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 14
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

(Keine Malware Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{f0fccd91-e695-4651-82d7-029f328a8120} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\antivirus 2008 pro (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine Malware Objekte gefunden)
 

Infizierte Datei Objekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: h:\windows\system32\rqrlbyxv  -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

H:\WINDOWS\system32\jxufwqbw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\WINDOWS\system32\wbqwfuxj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KCXJ6ZPQ\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RYRGRDFU\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{0DE1F3E2-329A-45A0-8F53-6D78B1B195C5}\RP10\A0006164.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{0DE1F3E2-329A-45A0-8F53-6D78B1B195C5}\RP11\A0006178.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{0DE1F3E2-329A-45A0-8F53-6D78B1B195C5}\RP11\A0006181.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{0DE1F3E2-329A-45A0-8F53-6D78B1B195C5}\RP9\A0005170.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\System Volume Information\_restore{0DE1F3E2-329A-45A0-8F53-6D78B1B195C5}\RP9\A0005171.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\WINDOWS\system32\JKKHXRKL.DLL.del (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\WINDOWS\system32\RQRLBYXV.DLL.del (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\WINDOWS\system32\TFLMAR.DLL.del (Trojan.Vundo) -> Quarantined and deleted successfully.

H:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.

H:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\software.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Code:

ComboFix 08-07-14.2 - Besitzer 2008-07-16 12:11:52.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.665 [GMT 2:00]

ausgeführt von:: H:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

H:\WINDOWS\dat.txt

H:\WINDOWS\search_res.txt

H:\WINDOWS\system32\mcrh.tmp

H:\WINDOWS\system32\qedrhtmd.ini

H:\WINDOWS\system32\vxybLRqr.ini

H:\WINDOWS\system32\vxybLRqr.ini2
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-06-16 bis 2008-07-16  ))))))))))))))))))))))))))))))

.
 

2008-07-16 12:02 . 2008-07-16 12:02        <DIR>        d--------        H:\Programme\Yahoo!

2008-07-16 12:02 . 2008-07-16 12:02        <DIR>        d--------        H:\Programme\CCleaner

2008-07-16 11:33 . 2008-07-16 11:33        <DIR>        d--------        H:\Programme\Malwarebytes' Anti-Malware

2008-07-16 11:33 . 2008-07-16 11:33        <DIR>        d--------        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes

2008-07-16 11:33 . 2008-07-16 11:33        <DIR>        d--------        H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-07-16 11:33 . 2008-07-07 17:35        34,296        --a------        H:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-07-16 11:33 . 2008-07-07 17:35        17,144        --a------        H:\WINDOWS\system32\drivers\mbam.sys

2008-07-16 10:58 . 2008-07-16 10:58        74        --a------        H:\WINDOWS\lsoon.ini

2008-07-16 10:45 . 2008-07-16 10:45        <DIR>        d--------        H:\Programme\Greatis

2008-07-16 10:45 . 2008-07-16 10:45        <DIR>        d--------        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Regrun

2008-07-15 12:19 . 2008-07-15 12:19        <DIR>        d--------        H:\RootkitNO

2008-07-15 12:05 . 2003-09-06 15:55        57,556        --a------        H:\WINDOWS\guard.bmp

2008-07-15 12:05 . 2008-07-16 10:46        (2)        -rahs-ot-        H:\WINDOWS\winstart.bat

2008-07-15 11:20 . 2008-07-15 11:20        24,576        --a------        H:\WINDOWS\system32\VundoFixSVC.exe

2008-07-15 11:12 . 2008-07-16 11:09        <DIR>        d--------        H:\VundoFix Backups

2008-07-15 10:56 . 2008-07-15 10:56        <DIR>        d--------        H:\Programme\Trend Micro

2008-07-15 10:30 . 2008-07-15 10:57        <DIR>        d-a------        H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-07-14 15:33 . 2008-07-16 09:11        <DIR>        d--------        H:\WINDOWS\BDOSCAN8

2008-07-14 15:13 . 2007-12-11 10:45        <DIR>        d--h-----        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Vorlagen

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        dr-------        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Startmen

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        d--h-----        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Netzwerkumgebung

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        d--h-----        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Lokale Einstellungen

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        d--------        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Favoriten

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        d--h-----        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Druckumgebung

2008-07-14 15:13 . 2007-12-11 10:37        <DIR>        dr-h-----        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000\Anwendungsdaten

2008-07-14 15:13 . 2008-07-14 15:13        <DIR>        d--------        H:\Dokumente und Einstellungen\Administrator.USER-0ED82F2FB4.000

2008-07-14 13:58 . 2008-07-14 13:58        <DIR>        d--------        H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes

2008-07-14 13:57 . 2008-07-14 14:31        <DIR>        d--------        H:\Programme\Elaborate Bytes

2008-07-01 14:31 . 2008-07-05 10:44        54,156        --ah-----        H:\WINDOWS\QTFont.qfn

2008-07-01 14:31 . 2008-07-01 14:31        1,409        --a------        H:\WINDOWS\QTFont.for

2008-06-24 17:11 . 2006-01-29 17:12        726,128,640        --a------        H:\The fog.avi

2008-06-24 10:30 . 2008-06-24 14:42        <DIR>        d--------        H:\Neuer Ordner

2008-06-17 15:23 . 2008-06-17 15:23        <DIR>        d--------        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Gadu-Gadu

2008-06-17 00:06 . 2008-06-17 00:07        <DIR>        d--------        H:\Dokumente und Einstellungen\Besitzer\Gadu-Gadu

2008-06-16 17:19 . 2008-06-16 17:19        <DIR>        d--------        H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer

2008-06-16 17:16 . 2008-06-16 17:16        <DIR>        d--------        H:\Programme\Xilisoft

2008-06-16 17:16 . 2008-06-16 17:16        <DIR>        d--------        H:\Programme\QuickTime
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-30 14:49        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Nokia Multimedia Player

2008-06-24 09:12        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ahead

2008-06-22 11:54        ---------        d-----w        H:\Programme\Nokia

2008-06-22 11:54        ---------        d-----w        H:\Programme\Gemeinsame Dateien\Nokia

2008-06-22 11:54        ---------        d-----w        H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations

2008-06-20 17:39        247,296        ----a-w        H:\WINDOWS\system32\mswsock.dll

2008-06-20 10:45        360,320        ----a-w        H:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44        138,368        ----a-w        H:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:52        225,920        ----a-w        H:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-16 14:40        ---------        d-----w        H:\Programme\Gemeinsame Dateien\DVDVideoSoft

2008-06-14 17:57        273,024        ------w        H:\WINDOWS\system32\drivers\bthport.sys

2008-06-02 15:49        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ

2008-05-28 13:10        ---------        d-----w        H:\Programme\ICQToolbar

2008-05-28 13:09        ---------        d-----w        H:\Programme\ICQ6

2008-05-28 13:08        ---------        d--h--w        H:\Programme\InstallShield Installation Information

2008-05-28 13:04        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\InstallShield

2008-05-28 13:00        ---------        d-----w        H:\Programme\ICQLite

2008-05-28 13:00        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQLite

2008-05-27 18:54        107,888        ----a-w        H:\WINDOWS\system32\CmdLineExt.dll

2008-05-27 17:21        ---------        d-----w        H:\Programme\Zylom Games

2008-05-27 17:20        ---------        d-----w        H:\Programme\EA SPORTS

2008-05-27 15:44        ---------        d-----w        H:\Programme\KONAMI

2008-05-26 19:01        ---------        d-----w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\AdobeUM

2008-05-07 05:14        1,293,312        ----a-w        H:\WINDOWS\system32\quartz.dll

2008-04-23 04:16        826,368        ----a-w        H:\WINDOWS\system32\wininet.dll

2008-01-17 18:33        7,924        ----a-w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\unins000.dat

2008-01-17 18:33        686,085        ----a-w        H:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\unins000.exe

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"MsnMsgr"="H:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352]

"updateMgr"="H:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]

"ICQ"="H:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Hotplug"="H:\Programme\Silicon Integrated Systems\SiSRaidPackage\hot_plug.exe" [2006-01-03 11:13 278528]

"SiSRaid"="H:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe" [2006-01-23 15:52 872448]

"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-11-17 11:29 7700480]

"NvMediaCenter"="H:\WINDOWS\system32\NvMcTray.dll" [2006-11-17 11:29 86016]

"SunJavaUpdateSched"="H:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"avgnt"="H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 18:31 262401]

"QuickFinder Scheduler"="H:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2006-07-05 01:01 77892]

"NBKeyScan"="H:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-06-29 20:16 1373480]

"NeroFilterCheck"="H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]

"Easy-PrintToolBox"="H:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 03:20 398944]

"PCSuiteTrayApplication"="H:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]

"nwiz"="nwiz.exe" [2006-11-17 11:29 1622016 H:\WINDOWS\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 10:22 577536 H:\WINDOWS\soundman.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

"Nokia.PCSync"="H:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"H:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"H:\\Programme\\MSN Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"H:\\Dokumente und Einstellungen\\Besitzer\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=

"H:\\Programme\\SopCast\\SopCast.exe"=

"H:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"H:\\Programme\\TVAnts\\Tvants.exe"=

"H:\\Programme\\PPLive\\PPLive.exe"=

"H:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"H:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"H:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=

"H:\\Programme\\ICQ6\\ICQ.exe"=
 

R3 adiusbae;AT-AR215 USB ADSL LAN Adapter;H:\WINDOWS\system32\DRIVERS\adiusbae.sys [2002-09-25 17:10]

R3 SaiH0109;SaiH0109;H:\WINDOWS\system32\DRIVERS\SaiH0109.sys [2004-01-30 15:19]

R3 SaiU0109;SaiU0109;H:\WINDOWS\system32\DRIVERS\SaiU0109.sys [2004-01-30 15:19]

S0 Partizan;Partizan;H:\WINDOWS\system32\drivers\Partizan.sys []

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;H:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17]

S3 nmwcdnsuc;Nokia USB Flashing Generic;H:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17]
 

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-16 12:14:40

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

H:\WINDOWS\system32\nvsvc32.exe

H:\Programme\Windows Media Player\wmpnetwk.exe

H:\WINDOWS\system32\rundll32.exe

H:\Programme\PC Connectivity Solution\ServiceLayer.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-16 12:20:19 - machine was rebooted

ComboFix-quarantined-files.txt  2008-07-16 10:19:17
 

              12 Verzeichnis(se), 274,832,510,976 Bytes frei

              15 Verzeichnis(se), 274,831,966,208 Bytes frei
 

159        --- E O F ---        2008-07-13 12:15:15

ich hoff nur, es ist nicht so schlimm, wie das alles hier aussieht.
Und es sollte ne alternativlösung geben zu "Systemneu aufspielen".
Um jede Hilfe bin ich sehr erfreut : )