Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18 (https://www.trojaner-board.de/66676-trojaner-vundo-fxr-94-tr-vundo-gen-6-18-a.html)

lady chill 18.12.2008 03:01
Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
 
Hallo,

ich habe schon seit einer Weile diese beiden Trojaner, die mir regelmäßig von Avira angezeigt werden. Anfänglich noch einmal in der Stunde aber mittlerweile öffnet sich aller 3 Sekunden ein Avira-Fenster und meldet mir einen der beiden Viren. Entweder TR/Vundo.fxr.94 oder TR/Vundo.Gen.6.18
Deswegen hab ich jetzt AntiVir einfach deaktiviert, was ja auch nicht ganz Sinn und Zweck der Sache ist.
Löschen funktioniert nicht und ein kompletter Systemscan hat auch nichts gebracht.

Ich muss dazu sagen, dass ich leider IT-mäßig nicht sehr bewandert bin. Aber ich habe mich trotzdem mal an HJT versucht. Folgendes wurde ausgespuckt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:15:47, on 18.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSI\MSI.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Spyware Cease\SpywareCease.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Opera\opera.exe
C:\Programme\HJT\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: zovqwl.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6075 bytes


Ich hoffe ich habe jetzt alles richtig gemacht. Kann man da noch was machen oder ist schon alles verloren?

Zum Schluss hab ich noch ein paar Fragen:

Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren?
Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann?
Muss ich etwas beachten, wenn ich im Internet surfe?

Vielen Dank schonmal im Voraus.

Liebe Grüße
Diana

john.doe 18.12.2008 19:10
Hallo und :hallo:

Zitat:
Kann man da noch was machen oder ist schon alles verloren?
Vermutlich ist alles verloren, es sieht nach einem bot aus.
Zitat:
Bleiben die Trojaner jetzt im system 32 oder können sie auch meine Daten (Bilder, Musik etc.) infizieren?
Dazu müssen wir erstmal wissen, mit wem wir es zu tun haben. Es gibt Malware die Daten zerstört, die ist jedoch selten.
Zitat:
Kann ich etwas tun, damit die Viren sich nicht weiter ausbreiten, solange ich nicht weiß, wie ich sie eliminieren kann?
Computer vom Internet trennen. Von einem nicht infizierten Rechner alle Kennwörter ändern.
Zitat:
Muss ich etwas beachten, wenn ich im Internet surfe?
http://www.trojaner-board.de/65029-t...tml#post394238
Lies und klicke auf die Links bei Für die Zukunft.

Bitte folgende Dateien prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\zovqwl.dll
C:\Programme\Spyware Cease\SpywareCease.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den Prüfsummen mit kopieren!

ciao, andreas

lady chill 18.12.2008 21:35
Hallo und vielen Dank für die Antwort.

Das hört sich ja nicht so schön an. Ehrlich gesagt habe ich jetzt nicht damit gerechnet, dass es so ernst ist.

Trotzdem ich alle Anweisung befolgt habe, konnte ich die Datei C:\WINDOWS\system32\wauclt.exe nicht finden. Stattdessen habe ich jetzt die wuauclt.exe hochgeladen. Ich hoffe das war jetzt nicht komplett daneben.

Ich weiß jetzt nicht genau, was die Prüfsummen sind, deswegen kopiere ich mal das komplette Ergebnis:

Datei wuauclt.exe empfangen 2008.12.18 20:59:01 (CET)
Status: Beendet
Ergebnis: 1/38 (2.64%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 -
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 -
BitDefender 7.2 2008.12.18 -
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6267 2008.12.18 -
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 -
F-Secure 8.0.14332.0 2008.12.18 Suspicious:W32/SCKeyLog!Gemini
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 -
Ikarus T3.1.1.45.0 2008.12.18 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 -
NOD32 3703 2008.12.18 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 -
Rising 21.08.32.00 2008.12.18 -
SecureWeb-Gateway 6.7.6 2008.12.18 -
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 -
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 53448 bytes
MD5...: d316e28958873859b88d72cf47ad1ea5
SHA1..: 36a54a85121770e68f836bf32a0bf422a0c4e172
SHA256: afef34f482f5fb1f5768bdc63bc1dd8e787df5391b2fa0fa1e97041ecb72cae4
SHA512: c18b5124342b9a304da504b98674b289a307576056245d8b7cdcd27a32b8772b
0f679baa13838bcd981e8817c27f1644d2f4c265cbba43344e3f8f083be94af4
ssdeep: 768:J53RKoUAg+c6uzJBXJDy0g1FX3vxBytpiOKEcmu1jKvC:pLcDzfXSh/x0cdm
u1kC
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4042dd
timedatestamp.....: 0x48816313 (Sat Jul 19 03:44:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8c84 0x8e00 6.00 9079e1cf62cf93298b09b9c3840b6239
.data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93
.rsrc 0xb000 0x7b8 0x800 4.55 8dc19cba0c732cf17cca6e6eddcdc010
.reloc 0xc000 0xc8a 0xe00 3.10 56fa4b399c6d09575836259c52cf6c40

( 6 imports )
> KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, LoadLibraryW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, FreeLibrary, OpenEventW, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange
> msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit
> ole32.dll: CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey
> OLEAUT32.dll: -, -
> SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW

( 0 exports )


Datei zovqwl.dll empfangen 2008.12.18 21:13:43 (CET)
Status: Beendet
Ergebnis: 16/38 (42.11%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 TR/Vundo.Gen.6.26
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 Vundo.CK
BitDefender 7.2 2008.12.18 Trojan.Vundo.Gen.6
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 Suspicious File
eTrust-Vet 31.6.6267 2008.12.18 Win32/Vundo!generic
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 W32/Virtumonde.AC.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.18 -
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 Trojan.Vundo.Gen.6
Ikarus T3.1.1.45.0 2008.12.18 Trojan.Win32.Vundo
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 Trojan:Win32/Vundo.gen!R
NOD32 3703 2008.12.18 Win32/Adware.SuperJuan
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 Cloaked Malware
Rising 21.08.32.00 2008.12.18 Trojan.DL.Win32.Undef.col
SecureWeb-Gateway 6.7.6 2008.12.18 Trojan.Vundo.Gen.6.26
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 Packed.Generic.203
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 PAK_Generic.001
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 Trojan.Win32.Virtumond.103424
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 103424 bytes
MD5...: ec318957ef361601060320b183a88c26
SHA1..: 27cdc82f734519d714abc6731d438416fa807241
SHA256: 731b90d3dc2dd6cbd18252bdf33b1043d9fb300eeace351a7784413421144b7b
SHA512: 1772ed708ebaebcd5274dbbaa1b9504720a10bbd488755dd5304b381e36306e6
59f51c4b89cded746b658faa399dfe2c190211913209ef364278897afc34129c
ssdeep: 3072:r63l4lXxAkOTCvh7sKPTKMSY/Dq+ZI/XRt:rkIXxAkiCvh7sKPTKMS2LGf
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001119
timedatestamp.....: 0x265fafa5 (Sun May 27 10:44:53 1990)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9000 0x8400 7.89 a3031c89221cc88c8710c9337104a194
.itext 0xa000 0x1000 0x200 3.42 2ed2dca0cae4ecfca41caf55f73ca9d5
.data 0xb000 0x39000 0x10600 7.99 9adae0b0102ae28cdde8d8d85355c686
.bss 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x45000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: ExitProcess, GetSystemTimeAsFileTime, CloseHandle, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegQueryValueA, RegCloseKey, RegOpenKeyExA

( 0 exports )


Datei SpywareCease.exe empfangen 2008.12.18 21:21:03 (CET)
Status: Beendet
Ergebnis: 2/38 (5.27%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 -
Authentium 5.1.0.4 2008.12.18 W32/Agent.K.gen!Eldorado
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 -
BitDefender 7.2 2008.12.18 -
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.18 -
eTrust-Vet 31.6.6267 2008.12.18 -
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.18 W32/Agent.K.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.18 -
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 -
Ikarus T3.1.1.45.0 2008.12.18 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5468 2008.12.18 -
McAfee+Artemis 5468 2008.12.18 -
Microsoft 1.4205 2008.12.18 -
NOD32 3703 2008.12.18 -
Norman 5.80.02 2008.12.18 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 -
Rising 21.08.32.00 2008.12.18 -
SecureWeb-Gateway 6.7.6 2008.12.18 -
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.18 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 -
VirusBuster 4.5.11.0 2008.12.18 -
weitere Informationen
File size: 4593152 bytes
MD5...: 6d553040195fe2bf22785ec8e74c124d
SHA1..: ec86baf30fab3488dcc694c877d56ac995522ad3
SHA256: 36acad11eef4fa65bb9353d83cb10bacdd6003a53091cd299c5527d205bd0912
SHA512: 2abd39da2a288b0fafc1a14d771b7fa3b1f5667dc0cddee59189344b1ddf0cb8
c7d5f537ce2758989d99a7988134a0b428ae11a2a1a0b1785711d0737e373c4f
ssdeep: 24576:8LHgSSqFbXB2L3sZPaoDiu85Kf+Ah+PLAbrXP4UDMJW/nzUJTumR8aQTzp
a:8jgUBL3DVbxh+8brgTW/nzUJNmaQzp
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 7 (56.1%)
Win32 Executable Borland Delphi 5 (37.8%)
Win32 EXE PECompact compressed (generic) (3.4%)
Win32 Executable Delphi generic (1.2%)
Win32 Executable Generic (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ec414
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xeb634 0xeb800 6.57 72039a4bc803cd3529b814a93acb9819
DATA 0xed000 0x431c 0x4400 5.16 29273686a43d5d556514d608f0631c67
BSS 0xf2000 0x2ae1 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xf5000 0x2bb2 0x2c00 4.90 c4c0870b46eacfbdf144b97688a48066
.tls 0xf8000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf9000 0x18 0x200 0.21 2432f88b790f33fb20e348bfd875d976
.reloc 0xfa000 0x103a8 0x10400 6.66 d371e8d8cfb07b4465747826b1f3046d
.rsrc 0x10b000 0x35e400 0x35e400 6.03 bd4bd8d72fa53b881bb4d649905eb4b9

( 22 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumValueA, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey, GetUserNameA
> kernel32.dll: lstrcpyA, lstrcmpA, WritePrivateProfileStringA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, UnmapViewOfFile, SuspendThread, Sleep, SizeofResource, SetThreadPriority, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryA, ResumeThread, ResetEvent, ReleaseMutex, ReadFile, MultiByteToWideChar, MulDiv, MapViewOfFile, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalMemoryStatus, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetSystemDirectoryA, GetStringTypeExA, GetStdHandle, GetProcAddress, GetPrivateProfileStringA, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeThread, GetDriveTypeA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateProcessA, CreateMutexA, CreateFileMappingA, CreateFileA, CreateEventA, CreateDirectoryA, CopyFileA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RoundRect, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectType, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, Ellipse, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRoundRectRgn, CreatePenIndirect, CreatePen, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, ValidateRect, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDoubleClickTime, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetAsyncKeyState, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CLSIDFromProgID, CoCreateInstance, CoUninitialize, CoInitialize
> oleaut32.dll: GetErrorInfo, SysFreeString
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_GetIcon, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> shell32.dll: Shell_NotifyIconA, ShellExecuteA, SHGetFileInfoA, ExtractAssociatedIconA
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> networkdll.dll: GetHttpFileThread, PostVirusInfo
> opfile.dll: GetPeFileCodeMd5
> spkdll.dll: FixPrgamInList, GetPrgamListInfo, OptRegResult, ContrlRegProtect, WaitForRegEvent, StartRegProtect, RestoreFsdDispatchHook, RestoreFsdInlineHook, RestoreInlineHook, RestoreSsdtHook, SearchShadowTableHook, SearchSSDTHook, SearchDriver, GetProcModuleFile, killProcess, SearchProcess, killFile
> winmm.dll: timeGetTime
> advapi32.dll: QueryServiceConfigA, OpenServiceA, OpenSCManagerA, EnumServicesStatusA, CloseServiceHandle

( 0 exports )

Bei den ersten beiden Dateien hat VirusTotal gesagt, sie seien erst kürzlich überprüft wurden. Vielleicht ist das ja auch noch interessant.

So, dann zieh ich jetzt hier mal den Stecker und hoffe, dass der Ärmste den Virenbefall gut übersteht.

Bis dann,
Diana

john.doe 18.12.2008 21:54
Versuchen wir den zu finden. Arbeite bitte diese Liste ab.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
4.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

lady chill 19.12.2008 02:39
Mal sehen, ob ich das alles kapiert habe ;)

2.) Blacklight hat keine Fehler gefunden.

Malwarebytes Antimalware sagt folgendes:

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1517
Windows 5.1.2600 Service Pack 3

19.12.2008 00:23:03
mbam-log-2008-12-19 (00-23-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132726
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 41

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnlbbu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0f0cf21-6d42-41a7-91c4-d6dbefdf1e56} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{400dc12c-6191-469f-a75b-f2c35248332c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d999b8e9-c851-4f1e-b27c-d1c5ca3137b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnlmmnh  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\zovqwl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnnLbBU.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\pmnlmmNH.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\HNmmlnmp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\HNmmlnmp.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ifjfmvsv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vsvmfjfi.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kcmtdcyt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tycdtmck.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mktrtxio.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oixtrtkm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpvdxxmp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmxxdvpt.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wgqkvmxg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gxmvkqgw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xqtnlrwf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fwrlntqx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xrwrqvov.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vovqrwrx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\kb600179[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXA3ST67\index[2] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\flwbfr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\omsfpucg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\orbuhgpc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\maqjvb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mqyfvhid.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fckvov.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\moxkvrwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pbofjopk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pdpjxlss.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\skzjhb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tmjxsn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dgwmfsad.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\csaciovy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\byehgnus.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atvgcu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xpbufu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xtyklj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sxkbcnlc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ghdjcsmg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\egwiko.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

3.) Combofix:

Code:
ComboFix 08-12-18.01 - *** 2008-12-19  0:46:42.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.727 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\amyxeybi.ini
c:\windows\system32\bingdgwq.ini
c:\windows\system32\cbqmcubk.ini
c:\windows\system32\fudtat.dll
c:\windows\system32\fviqdfqg.dll
c:\windows\system32\iccanf.dll
c:\windows\system32\IQqqAJlm.ini
c:\windows\system32\IQqqAJlm.ini2
c:\windows\system32\jmnjdwbs.ini
c:\windows\system32\lfvgoh.dll
c:\windows\system32\ljyvialu.ini
c:\windows\system32\pxkfex.dll
c:\windows\system32\qtsyguai.ini
c:\windows\system32\radyjdfy.dll
c:\windows\system32\rituxikv.ini
c:\windows\system32\rkycpbee.dll
c:\windows\system32\tejicuth.dll
c:\windows\system32\tvtvpkvq.ini
c:\windows\Tasks\bxdeerkb.job

.
(((((((((((((((((((((((  Dateien erstellt von 2008-11-18 bis 2008-12-18  ))))))))))))))))))))))))))))))
.

2008-12-19 00:32 . 2008-12-19 00:38        <DIR>        d--------        c:\programme\CCleaner
2008-12-19 00:31 . 2008-12-19 00:31        2,972,904        --a------        c:\programme\ccsetup214.exe
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\dokumente und einstellungen\Diana\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-18 23:08 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-12-18 23:05 . 2008-12-18 23:05        <DIR>        d--------        c:\programme\Neuer Ordner
2008-12-18 23:05 . 2008-12-18 23:06        2,539,400        --a------        c:\programme\Anti-Malware.exe
2008-12-18 02:14 . 2008-12-18 02:15        <DIR>        d--------        c:\programme\HJT
2008-12-05 01:35 . 2008-12-05 09:28        <DIR>        d--------        c:\programme\Spyware Cease
2008-12-05 01:35 . 2008-12-11 09:15        28,672        --a------        c:\windows\system32\drivers\RKHit.sys
2008-12-04 15:06 . 2008-12-04 15:06        268        --ah-----        C:\sqmdata00.sqm
2008-12-04 15:06 . 2008-12-04 15:06        244        --ah-----        C:\sqmnoopt00.sqm
2008-11-21 23:12 . 2008-11-21 23:12        <DIR>        d--------        c:\temp\google

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 23:26        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-12-11 20:18        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-28 16:29        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-20 23:09        ---------        d-----w        c:\programme\PokerStars
2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys
2008-10-19 11:49        ---------        d-----w        c:\programme\Messenger Plus! Live
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"SpywareCease.exe"="c:\programme\Spyware Cease\SpywareCease.exe" [2008-12-11 4593152]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]
"PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=zovqwl.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}]
\Shell\AutoRun\command - F:\setupSNK.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{4741B6FC-AD53-4984-8B1E-63C8050BB6AF} - (no file)
HKLM-Run-Generic Host - wauclt.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = h**p://***.daemon-search.com/startpage
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe -

c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx
O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277}
hxxps://secure.gopetslive.com/dev/gopets.cab
c:\windows\Downloaded Program Files\gopets.inf

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\
FF - prefs.js: browser.search.defaulturl - h**p://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-12-19 00:49:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-19  0:51:27
ComboFix-quarantined-files.txt  2008-12-18 23:50:17

Vor Suchlauf: 8.597.192.704 Bytes frei
Nach Suchlauf: 8,644,845,568 Bytes frei

133        --- E O F ---        2008-11-12 11:03:56
4.) http://www.file-upload.net/download-...sting.txt.html

5.) HJK:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:43, on 19.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: zovqwl.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6553 bytes
Liebe Grüße,
Diana


Edit:

Ich hab gerade gelesen, dass es für Blacklight auch ein Log gibt. Allerdings kann ich das nicht finden. Ich habe Blacklight jetzt auch nicht gespeichert sondern nur auf "Ausführen" geklickt. Meines Wissens nach ist das ja dann irgendwo bei den temporären Dateien, oder? Und die hat ja der Cleaner gelöscht. Oder irre ich mich da?

john.doe 19.12.2008 17:54
Hallo Diana,

woher hast du Messenger Plus?

Wenn er nichts gefunden hat, brauche ich das Log von Blacklight nicht.

1.) Deinstalliere (Start => Systemsteuerung => Software) folgende Programme:
Code:
Acrobat Reader (veraltet)
Spyware Cease
Java (veraltet)
Alles von Google
2.) Lass folgende Dateien bei Virustotal überprüfen:
Code:
c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\drivers\mrxsmb.sys
3.) Start HJT => Do a system scan only => Markiere:
Zitat:
O20 - AppInit_DLLs: zovqwl.dll
=> Fix checked

4.) Combofix - Scripten

a. Starte das Notepad (Start / Ausführen / notepad[Enter])

b. Jetzt füge mit Kopieren/Einfügen den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
File::
c:\windows\system32\zovqwl.dll

Folder::
C:\Programme\Spyware Cease

Dirlook::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\temp
C:\Programme\Neuer Ordner
c. Speichere im Notepad als CFScript.txt auf dem Desktop.

d. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.

e. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

f. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann![/QUOTE]

5.) Überprüfe dein System bitte noch mit SuperAntiSpyware und poste das log.

6.) CureIT Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

7.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

8.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

9.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

lady chill 20.12.2008 11:42
Hallo Andreas,

Messenger Plus müsste von Chip online sein. Bin mir nicht sicher.

2.) VirusTotal:

Code:
Datei RKHit.sys empfangen 2008.12.19 20:32:34 (CET)
Status:    Beendet
Ergebnis: 1/37 (2.71%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.12.19.3        2008.12.19        -
AntiVir        7.9.0.45        2008.12.19        -
Authentium        5.1.0.4        2008.12.19        -
Avast        4.8.1281.0        2008.12.18        -
AVG        8.0.0.199        2008.12.19        -
BitDefender        7.2        2008.12.19        -
CAT-QuickHeal        10.00        2008.12.19        -
ClamAV        0.94.1        2008.12.19        -
Comodo        781        2008.12.19        -
DrWeb        4.44.0.09170        2008.12.19        -
eSafe        7.0.17.0        2008.12.18        -
eTrust-Vet        31.6.6269        2008.12.19        -
Ewido        4.0        2008.12.19        -
F-Prot        4.4.4.56        2008.12.19        -
F-Secure        8.0.14332.0        2008.12.19        -
Fortinet        3.117.0.0        2008.12.19        suspicious
GData        19        2008.12.19        -
Ikarus        T3.1.1.45.0        2008.12.19        -
K7AntiVirus        7.10.559        2008.12.19        -
Kaspersky        7.0.0.125        2008.12.19        -
McAfee        5469        2008.12.19        -
McAfee+Artemis        5468        2008.12.18        -
Microsoft        1.4205        2008.12.19        -
NOD32        3706        2008.12.19        -
Norman        5.80.02        2008.12.19        -
Panda        9.0.0.4        2008.12.19        -
PCTools        4.4.2.0        2008.12.19        -
Prevx1        V2        2008.12.19        -
Rising        21.08.42.00        2008.12.19        -
SecureWeb-Gateway        6.7.6        2008.12.19        -
Sophos        4.37.0        2008.12.19        -
Sunbelt        3.2.1801.2        2008.12.11        -
Symantec        10        2008.12.19        -
TheHacker        6.3.1.4.193        2008.12.19        -
TrendMicro        8.700.0.1004        2008.12.19        -
ViRobot        2008.12.19.1527        2008.12.19        -
VirusBuster        4.5.11.0        2008.12.19        -
weitere Informationen
File size: 28672 bytes
MD5...: 6852255bf1e46c2985f3c7c8395f0709
SHA1..: face9d148737cc77de62acc7a23076113b431291
SHA256: db9c48c132eeee3a95fff1e1dab968f3383a40584949e56127c7e2b686de71d3
SHA512: 0ecf0b2bf91b2937e945a6888cb576d2f60bd49f31456b6c99842bb5ebd132b3
c75df0cc5aad7b8e62fed6a73b3301b0b17baf415571076677b5e37be0c07505
ssdeep: 768:KUnDOw1stCigwkdo2adwovNmSYf8hBYNGx8qipyEEZ:nDOesEwkdo2adwovN
mSG8/YNm8qsyEw
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16105
timedatestamp.....: 0x48ec6f4b (Wed Oct 08 08:28:59 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x4848 0x4880 6.25 0c8a6c9096dfedff82022f6545dd943e
.rdata 0x4d00 0x2d4 0x300 3.80 7841baca526e2e37bb9ec0dfdfda45f8
.data 0x5000 0x1090 0x1100 0.01 15800a9c230a2a86476577d9a2d48c09
INIT 0x6100 0x95e 0x980 5.32 c418ad8e3723813b7d2deeaf193e24d6
.reloc 0x6a80 0x578 0x580 6.20 cec7738a6b0049dfaa636f5bc9e67a8b

( 2 imports )
> ntoskrnl.exe: _except_handler3, MmUnlockPages, ObfDereferenceObject, KeUnstackDetachProcess, KeStackAttachProcess, PsLookupProcessByProcessId, MmIsAddressValid, KeInitializeSpinLock, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, ExFreePool, _stricmp, strrchr, ExAllocatePoolWithTag, ZwQuerySystemInformation, IoFileObjectType, ZwClose, ObReferenceObjectByHandle, ZwOpenKey, PsProcessType, IoDeviceObjectType, MmSectionObjectType, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, ZwOpenFile, RtlImageDirectoryEntryToData, NtBuildNumber, RtlAppendUnicodeStringToString, RtlVolumeDeviceToDosName, IoCreateFile, wcscpy, ProbeForRead, IoGetCurrentProcess, KeGetCurrentThread, KeServiceDescriptorTable, ObQueryNameString, ObReferenceObjectByPointer, ObOpenObjectByPointer, PsGetVersion, IoAllocateMdl, IoThreadToProcess, PsLookupThreadByThreadId, NtGlobalFlag, PsThreadType, IofCallDriver, ZwOpenDirectoryObject, MmGetVirtualForPhysical, MmGetPhysicalAddress, MmSystemRangeStart, IoFreeIrp, KeSetEvent, KeWaitForSingleObject, MmBuildMdlForNonPagedPool, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, KeInitializeEvent, IoGetDeviceObjectPointer, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoGetConfigurationInformation, ZwTerminateProcess, PsGetCurrentProcessId, KeInsertQueueApc, KeInitializeApc, KeClearEvent, ExfInterlockedInsertTailList, ExfInterlockedRemoveHeadList, wcsstr, _wcsupr, IoCreateSynchronizationEvent, MmGetSystemRoutineAddress, ZwOpenEvent, IoDeleteDevice, RtlInitAnsiString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmUserProbeAddress, IoFreeMdl
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor

( 0 exports )
Code:
       
Datei mrxsmb.sys empfangen 2008.12.19 20:45:44 (CET)
Status:    Beendet
Ergebnis: 0/38 (0%)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.12.19.3        2008.12.19        -
AntiVir        7.9.0.45        2008.12.19        -
Authentium        5.1.0.4        2008.12.19        -
Avast        4.8.1281.0        2008.12.18        -
AVG        8.0.0.199        2008.12.19        -
BitDefender        7.2        2008.12.19        -
CAT-QuickHeal        10.00        2008.12.19        -
ClamAV        0.94.1        2008.12.19        -
Comodo        781        2008.12.19        -
DrWeb        4.44.0.09170        2008.12.19        -
eSafe        7.0.17.0        2008.12.18        -
eTrust-Vet        31.6.6269        2008.12.19        -
Ewido        4.0        2008.12.19        -
F-Prot        4.4.4.56        2008.12.18        -
F-Secure        8.0.14332.0        2008.12.19        -
Fortinet        3.117.0.0        2008.12.19        -
GData        19        2008.12.19        -
Ikarus        T3.1.1.45.0        2008.12.19        -
K7AntiVirus        7.10.559        2008.12.19        -
Kaspersky        7.0.0.125        2008.12.19        -
McAfee        5469        2008.12.19        -
McAfee+Artemis        5468        2008.12.18        -
Microsoft        1.4205        2008.12.19        -
NOD32        3705        2008.12.19        -
Norman        5.80.02        2008.12.19        -
Panda        9.0.0.4        2008.12.19        -
PCTools        4.4.2.0        2008.12.19        -
Prevx1        V2        2008.12.19        -
Rising        21.08.42.00        2008.12.19        -
SecureWeb-Gateway        6.7.6        2008.12.19        -
Sophos        4.37.0        2008.12.19        -
Sunbelt        3.2.1801.2        2008.12.11        -
Symantec        10        2008.12.19        -
TheHacker        6.3.1.4.193        2008.12.19        -
TrendMicro        8.700.0.1004        2008.12.19        -
VBA32        3.12.8.10        2008.12.18        -
ViRobot        2008.12.19.1527        2008.12.19        -
VirusBuster        4.5.11.0        2008.12.19        -
weitere Informationen
File size: 455296 bytes
MD5...: 60ae98742484e7ab80c3c1450e708148
SHA1..: 271499215ed328cac5a632073d07f0e013b8077d
SHA256: eda62550bfb9ebb0fbe88cb55bb13c8f2636c620e52d691c7bef13357f68c7dc
SHA512: e0cff68e9c57e5b4568b46a9d94abfdbab26dd606e9c713226300f399bc54232
dc51f3a71294a4c2bd4b487dba6c749736de5a9f7465365096626aefe467d098
ssdeep: 12288:cO5K4MwrUmkweiDXi+ypc59fcFan9xK7:ZTMuc+ypc59fcq9xK7
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x77f83
timedatestamp.....: 0x4901afa3 (Fri Oct 24 11:21:07 2008)
machinetype.......: 0x14c (I386)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0x1bbb7 0x1bc00 6.69 3f8a3fc760d2c55bdfb6eb3df8a01f88
SECUR 0x1c000 0x295 0x300 5.26 5e6ae332989794ef78931e9b2466a37e
.rdata 0x1c300 0x2ad8 0x2b00 4.75 4721dff78c1bff9a97f78c4c402db9e0
.data 0x1ee00 0x5200 0x5200 0.91 3bbe61945602e0ad198097316eca2d26
PAGE 0x24000 0x425d5 0x42600 6.66 10b848584e6acdab7a988a37789fd444
PAGE4BRO 0x66600 0x13f4 0x1400 6.46 7b69ca4b43c65ba89a6539690cea94ed
PAGE5NET 0x67a00 0x428 0x480 6.27 40f810fec2fb96a6de5a772e8c5ce747
PAGE 0x67e80 0x48 0x80 0.85 a99205c236429bdec2c015f203abf0a4
INIT 0x67f00 0x2a7e 0x2a80 5.92 5755d3d523136bfec70a7cc33f7fe4e2
.rsrc 0x6a980 0x3f8 0x400 3.45 dd217f84c870c7cbfcb03244bc282640
.reloc 0x6ad80 0x448c 0x4500 6.79 8856a0e04385addb23154dd793cb90bc

( 5 imports )
> HAL.dll: ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, KeGetCurrentIrql
> ksecdd.sys: CredMarshalTargetInfo, SecMakeSPNEx, AcquireCredentialsHandleW, SecMakeSPN, FreeCredentialsHandle, DeleteSecurityContext, InitializeSecurityContextW, FreeContextBuffer, InitSecurityInterfaceW, QueryContextAttributesW, MapSecurityError, GetSecurityUserInfo
> ntoskrnl.exe: RtlCompareMemory, DbgPrint, KeQueryTimeIncrement, KeTickCount, RtlEqualUnicodeString, FsRtlIsNameInExpression, RtlOemStringToCountedUnicodeString, RtlOemStringToUnicodeString, RtlxOemStringToUnicodeSize, RtlUpcaseUnicodeString, ExIsResourceAcquiredSharedLite, ExIsResourceAcquiredExclusiveLite, FsRtlDoesNameContainWildCards, RtlFreeOemString, RtlUpcaseUnicodeStringToOemString, RtlUnicodeStringToOemString, ZwFreeVirtualMemory, KeUnstackDetachProcess, KeStackAttachProcess, IoGetRequestorProcess, _alldiv, ProbeForWrite, ProbeForRead, RtlVerifyVersionInfo, VerSetConditionMask, ObfDereferenceObject, IofCompleteRequest, IoFreeIrp, KeWaitForSingleObject, IofCallDriver, IoAllocateIrp, IoGetRelatedDeviceObject, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, wcslen, _allmul, SeRegisterLogonSessionTerminatedRoutine, PoRegisterSystemState, SeUnregisterLogonSessionTerminatedRoutine, PoUnregisterSystemState, ZwSetValueKey, ExDeleteResourceLite, IoWMIRegistrationControl, MmBuildMdlForNonPagedPool, KeQuerySystemTime, MmUnmapLockedPages, KeGetCurrentThread, ExfInterlockedInsertTailList, ExInitializeNPagedLookasideList, ExFreePool, ExInitializeZone, KeInitializeSpinLock, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlxUnicodeStringToOemSize, NlsMbOemCodePageTag, MmMapLockedPagesSpecifyCache, ExFreePoolWithTag, RtlCopySid, SeQueryInformationToken, IoGetRequestorProcessId, SeQuerySessionIdToken, FsRtlIsHpfsDbcsLegal, FsRtlIsFatDbcsLegal, IoBuildPartialMdl, RtlxUnicodeStringToAnsiSize, ExLocalTimeToSystemTime, RtlTimeFieldsToTime, RtlTimeToTimeFields, ExSystemTimeToLocalTime, RtlTimeToSecondsSince1970, RtlSecondsSince1970ToTime, RtlDecompressChunks, RtlCompareUnicodeString, MmSizeOfMdl, LsaFreeReturnBuffer, ExInitializeResourceLite, IoGetCurrentProcess, KeDelayExecutionThread, RtlRandom, ExInterlockedAddLargeStatistic, memmove, DbgBreakPoint, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtDeviceIoControlFile, _except_handler3, RtlCopyUnicodeString, IoRaiseInformationalHardError, IoAllocateMdl, RtlNtStatusToDosError, ZwDeviceIoControlFile, ZwCreateFile, _aulldiv, ObfReferenceObject, RtlCompressChunks, RtlGetCompressionWorkSpaceSize, MmLockPagableDataSection, KeCancelTimer, ExQueueWorkItem, MmUnlockPagableImageSection, KeSetTimer, KeInitializeDpc, KeClearEvent, KeInitializeTimer, _local_unwind2, RtlEqualSid, RtlUpcaseUnicodeChar, KeBugCheckEx, RtlInitUnicodeString, ZwOpenKey, ZwQueryValueKey, ZwClose, RtlFreeUnicodeString, RtlInitAnsiString, ZwWriteFile, RtlMultiByteToUnicodeN, RtlOemToUnicodeN, RtlUnicodeToOemN, RtlxAnsiStringToUnicodeSize, ZwFsControlFile, ZwSetInformationFile, ZwQueryInformationFile, RtlNtStatusToDosErrorNoTeb, RtlInitializeSid, RtlSubAuthoritySid, RtlSetOwnerSecurityDescriptor, RtlAbsoluteToSelfRelativeSD, ExReleaseFastMutexUnsafe, ExAcquireFastMutexUnsafe, SeSinglePrivilegeCheck, SeTokenIsAdmin, IoGetTopLevelIrp, IoSetTopLevelIrp, ZwReadFile, RtlPrefixUnicodeString, PsGetProcessImageFileName, SeTokenIsRestricted, _wcsnicmp, IoGetDeviceObjectPointer, IoBuildDeviceIoControlRequest, FsRtlNotifyCleanup, FsRtlNotifyFullChangeDirectory, FsRtlNotifyUninitializeSync, FsRtlNotifyInitializeSync, IoGetRequestorSessionId, FsRtlNotifyFullReportChange, IoCreateSymbolicLink, RtlGenerate8dot3Name, RtlUnicodeStringToCountedOemString, IoDeleteSymbolicLink, wcscat, ZwOpenEvent, ExEventObjectType, IoWMIWriteEvent, NtClose, strncmp, _strnicmp, SeAccessCheck, ObGetObjectSecurity, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, SeSetSecurityDescriptorInfo, ObReleaseObjectSecurity, IoGetFileObjectGenericMapping, RtlMapGenericMask, SeExports, RtlLengthSid, RtlCreateAcl, RtlAddAccessAllowedAce, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExfInterlockedRemoveHeadList, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, RtlUpcaseUnicodeToOemN, PsTerminateSystemThread, PsCreateSystemThread, ZwWaitForSingleObject, ExfInterlockedAddUlong, KeResetEvent, MmProbeAndLockPages, KeSetEvent, MmUnlockPages, IoFreeMdl, RtlLengthRequiredSid, RtlLengthSecurityDescriptor, KeInitializeEvent, SeCaptureSubjectContext, SeLockSubjectContext, SeQueryAuthenticationIdToken, SeUnlockSubjectContext, RtlIntegerToUnicodeString, SeReleaseSubjectContext, RtlAnsiStringToUnicodeString, IoCreateFile, ExAllocatePoolWithTag, IoDeleteDevice, ObReferenceObjectByHandle, ZwCreateEvent, IoInitializeTimer, IoCreateDevice, IoIsOperationSynchronous, IoStartTimer, IoStopTimer, ExAcquireResourceSharedLite, wcscpy, IoIsSystemThread, ExRaiseStatus, MmMapLockedPages, RtlInitString, _stricmp, NtWriteFile, NtCreateFile, strncpy, _wcsicmp, RtlDeleteElementGenericTable, RtlEnumerateGenericTable, RtlNumberGenericTableElements, RtlInsertElementGenericTable, RtlLookupElementGenericTable, RtlEnumerateGenericTableWithoutSplaying, ExAllocatePoolWithQuotaTag, RtlExtendedMagicDivide, IoFileObjectType, KeBugCheck, RtlInitializeGenericTable, PsIsThreadTerminating
> rdbss.sys: RxNameCacheScavengeNameCaches, RxNameCacheCreateEntry, RxNameCacheFetchEntry, RxNameCacheCheckEntry, RxNameCacheActivateEntry, RxNameCacheExpireEntry, RxNewMapUserBuffer, RxpAcquirePrefixTableLockExclusive, RxCeQueryTransportInformation, RxCeQueryAdapterStatus, RxFinalizeConnection, RxpReleasePrefixTableLock, RxIndicateChangeOfBufferingStateForSrvOpen, RxCeInitiateVCDisconnect, RxCeBuildConnection, RxCeBuildConnectionOverMultipleTransports, RxCeTearDownVC, RxCeTearDownConnection, RxCeQueryInformation, RxCeSend, RxPurgeAllFobxs, RxScavengeAllFobxs, RxCeBuildTransport, RxCeBuildAddress, RxCeTearDownAddress, RxCeTearDownTransport, RxLogEventWithAnnotation, RxDereferenceAndDeleteRxContext_Real, RxFinalizeNetRoot, RxSetMinirdrCancelRoutine, RxNameCacheInitialize, RxNameCacheInitializeEx, RxGetRDBSSProcess, RxNameCacheFinalize, RxNameCacheFinalizeEx, RxSetSrvCallDomainName, RxCancelTimerRequest, RxPostOneShotTimerRequest, RxLowIoGetBufferAddress, RxAcquireSharedFcbResourceInMRx, RxInferFileType, RxIndicateChangeOfBufferingState, RxFinishFcbInitialization, RxCreateNetFobx, RxPostToWorkerThread, RxCeSendDatagram, RxLockEnumerator, RxAcquireSharedFcbResourceInMRxEx, RxRegisterMinirdr, RxSpinDownMRxDispatcher, RxLogEventDirect, RxLogEventWithBufferDirect, RxFsdDispatch, RxpUnregisterMinirdr, RxLowIoCompletion, __RxSynchronizeBlockingOperationsMaybeDroppingFcbLock, RxResumeBlockedOperations_Serially, RxInitializeContext, RxGetFileSizeWithLock, RxReleaseFcbResourceInMRx, RxAcquireExclusiveFcbResourceInMRx, RxDispatchToWorkerThread, RxStopMinirdr, RxStartMinirdr, _RxFreePool, _RxAllocatePoolWithTag, RxSetDomainForMailslotBroadcast, RxReleaseFcbResourceForThreadInMRx, RxForceFinalizeAllVNetRoots, RxScavengeFobxsForNetRoot, RxCompleteRequest_Real, RxpDereferenceAndFinalizeNetFcb, RxPurgeRelatedFobxs, RxpDereferenceNetFcb, RxpTrackDereference, RxpReferenceNetFcb, RxpTrackReference
> TDI.SYS: TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers

( 0 exports )
packers (Kaspersky): PE_Patch
4.) Combofix

Code:
ComboFix 08-12-18.01 - ***2008-12-19 22:37:42.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1023.655 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\system32\zovqwl.dll
.

(((((((((((((((((((((((  Dateien erstellt von 2008-11-19 bis 2008-12-19  ))))))))))))))))))))))))))))))
.

2008-12-19 20:13 . 2008-12-19 20:27        <DIR>        d--------        c:\windows\LastGood
2008-12-19 00:32 . 2008-12-19 00:38        <DIR>        d--------        c:\programme\CCleaner
2008-12-19 00:31 . 2008-12-19 00:31        2,972,904        --a------        c:\programme\ccsetup214.exe
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-18 23:08        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-18 23:08 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-18 23:08 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-12-18 23:05 . 2008-12-18 23:05        <DIR>        d--------        c:\programme\Neuer Ordner
2008-12-18 23:05 . 2008-12-18 23:06        2,539,400        --a------        c:\programme\Anti-Malware.exe
2008-12-18 02:14 . 2008-12-18 02:15        <DIR>        d--------        c:\programme\HJT
2008-12-05 01:35 . 2008-12-11 09:15        28,672        --a------        c:\windows\system32\drivers\RKHit.sys
2008-12-04 15:06 . 2008-12-04 15:06        268        --ah-----        C:\sqmdata00.sqm
2008-12-04 15:06 . 2008-12-04 15:06        244        --ah-----        C:\sqmnoopt00.sqm
2008-11-21 23:12 . 2008-11-21 23:12        <DIR>        d--------        c:\temp\google

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-19 19:25        ---------        d-----w        c:\programme\Sierra On-Line
2008-12-19 19:19        ---------        d-----w        c:\programme\PokerStars
2008-12-19 19:18        ---------        d-----w        c:\programme\Google
2008-12-19 19:17        ---------        d-----w        c:\programme\Java
2008-12-19 19:10        ---------        d-----w        c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-11-28 16:29        ---------        d---a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys
2008-10-19 11:49        ---------        d-----w        c:\programme\Messenger Plus! Live
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:06        268,648        ----a-w        c:\windows\system32\mucltui.dll
2008-10-16 13:06        208,744        ----a-w        c:\windows\system32\muweb.dll
.

((((((((((((((((((((((((((((((((((((((((((((  Look  )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\temp ----


---- Directory of c:\programme\Neuer Ordner ----



(((((((((((((((((((((((((((((  snapshot@2008-12-19_ 0.49.29,84  )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-18 20:10:48        94,920        ----a-w        c:\windows\LastGood\system32\cdm.dll
+ 2008-07-18 20:07:34        270,880        ----a-w        c:\windows\LastGood\system32\mucltui.dll
+ 2008-07-18 20:07:32        210,976        ----a-w        c:\windows\LastGood\system32\muweb.dll
+ 2008-07-18 20:09:44        563,912        ----a-w        c:\windows\LastGood\system32\wuapi.dll
+ 2008-07-18 20:10:42        53,448        ----a-w        c:\windows\LastGood\system32\wuauclt.exe
+ 2008-07-18 20:09:42        1,811,656        ----a-w        c:\windows\LastGood\system32\wuaueng.dll
+ 2008-07-18 20:09:46        325,832        ----a-w        c:\windows\LastGood\system32\wucltui.dll
+ 2008-07-18 20:10:20        36,552        ----a-w        c:\windows\LastGood\system32\wups.dll
+ 2008-07-18 20:10:40        45,768        ----a-w        c:\windows\LastGood\system32\wups2.dll
+ 2008-07-18 20:09:44        205,000        ----a-w        c:\windows\LastGood\system32\wuweb.dll
- 2008-07-18 20:10:48        94,920        -c--a-w        c:\windows\system32\dllcache\cdm.dll
+ 2008-10-16 13:09:44        92,696        -c--a-w        c:\windows\system32\dllcache\cdm.dll
- 2008-07-18 20:09:44        563,912        -c--a-w        c:\windows\system32\dllcache\wuapi.dll
+ 2008-10-16 13:12:20        561,688        -c--a-w        c:\windows\system32\dllcache\wuapi.dll
- 2008-07-18 20:10:42        53,448        -c--a-w        c:\windows\system32\dllcache\wuauclt.exe
+ 2008-10-16 13:09:44        51,224        -c--a-w        c:\windows\system32\dllcache\wuauclt.exe
- 2008-07-18 20:09:42        1,811,656        -c--a-w        c:\windows\system32\dllcache\wuaueng.dll
+ 2008-10-16 13:13:40        1,809,944        -c--a-w        c:\windows\system32\dllcache\wuaueng.dll
- 2008-07-18 20:09:46        325,832        -c--a-w        c:\windows\system32\dllcache\wucltui.dll
+ 2008-10-16 13:12:22        323,608        -c--a-w        c:\windows\system32\dllcache\wucltui.dll
- 2008-07-18 20:09:44        205,000        -c--a-w        c:\windows\system32\dllcache\wuweb.dll
+ 2008-10-16 13:13:40        202,776        -c--a-w        c:\windows\system32\dllcache\wuweb.dll
- 2008-10-21 16:33:08        169,896        ----a-w        c:\windows\system32\FNTCACHE.DAT
+ 2008-12-19 02:14:36        126,912        ----a-w        c:\windows\system32\FNTCACHE.DAT
+ 2008-10-16 13:08:58        34,328        ----a-w        c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2008-10-16 13:09:44        43,544        ----a-w        c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"MSI"="c:\programme\MSI\MSI.exe" [2007-01-13 311296]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]
"PCTVOICE"="pctspk.exe" [2003-02-24 c:\windows\system32\pctspk.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Belkin Wireless USB Utility.lnk - c:\programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe [2005-10-28 1404928]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 RkHit;RkHit;\??\c:\windows\system32\drivers\RKHit.sys [2008-12-05 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad185983-953f-11dd-b3cc-0019e08487fd}]
\Shell\AutoRun\command - F:\setupSNK.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://***.daemon-search.com/startpage

c:\windows\Downloaded Program Files\audiere.dll - c:\windows\Downloaded Program Files\gopets.ocx
O16 -: {E85362EF-40D4-4E5D-BE07-D6B036CCA277}
hxxps://secure.gopetslive.com/dev/gopets.cab
c:\windows\Downloaded Program Files\gopets.inf

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\iwhfxvhd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://***.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-12-19 22:40:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-19 22:42:13
ComboFix-quarantined-files.txt  2008-12-19 21:41:57
ComboFix2.txt  2008-12-18 23:51:29

Vor Suchlauf: 9.505.112.064 Bytes frei
Nach Suchlauf: 9,500,581,888 Bytes frei

143        --- E O F ---        2008-11-12 11:03:56

lady chill 20.12.2008 11:43
5.) SuperAntiSpyware

Code:
SUPERAntiSpyware Scan Log
h**p://***.superantispyware.com

Generated 12/19/2008 at 11:18 PM

Application Version : 4.23.1006

Core Rules Database Version : 3679
Trace Rules Database Version: 1658

Scan type      : Complete Scan
Total Scan Time : 00:22:51

Memory items scanned      : 468
Memory threats detected  : 0
Registry items scanned    : 3322
Registry threats detected : 7
File items scanned        : 12460
File threats detected    : 4

Rogue.Component/Trace
        HKLM\Software\Microsoft\8CCD0F16
        HKLM\Software\Microsoft\8CCD0F16#8ccd0f16
        HKLM\Software\Microsoft\8CCD0F16#Version
        HKLM\Software\Microsoft\8CCD0F16#8ccda296
        HKLM\Software\Microsoft\8CCD0F16#8ccdcb73
        HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\CS41275
        HKU\S-1-5-21-682003330-688789844-1708537768-1004\Software\Microsoft\FIAS4018

Adware.Vundo/Variant
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000006.DLL
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000007.DLL
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000013.DLL
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2\A0000015.DLL
6.) DrWeb

Code:

fudtat.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;;
fviqdfqg.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.369;;
iccanf.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;;
lfvgoh.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
pxkfex.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
radyjdfy.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
rkycpbee.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Juan.60;Gelöscht.;
tejicuth.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Wahrscheinlich Trojan.Packed.212;;
A0001459.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP10;Wahrscheinlich BATCH.Virus;;
A0000008.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;;
A0000011.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.;
A0000017.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Trojan.Juan.60;Gelöscht.;
A0000018.dll;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich Trojan.Packed.212;;
A0000022.bat;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP2;Wahrscheinlich BATCH.Virus;;
A0000617.exe\data001;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;;
A0000617.exe\data002;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6\A0000617.exe;Adware.Casino;;
A0000617.exe;C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP6;Archiv enthält infizierte Objekte;Verschoben.;


7.) Panda Active Scan

Code:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-12-20 03:35:11
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition                8.0.1.30                      Yes      Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000018.dll
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\tejicuth.dll.vir
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0000008.dll
03074964  Trj/CI.A                          Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\iccanf.dll.vir
04228218  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir
04228218  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir
04412765  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             
;===================================================================================================================================================================================
No        C:\Daten\downloads\setup_msn.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity  Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                               
;===================================================================================================================================================================================
;===================================================================================================================================================================================
8.) AVP-Tool

Code:

Scan
----
Scanned:        517731
Detected:        2
Untreated:        0
Start time:        20.12.2008 03:41:43
Duration:        07:22:25
Finish time:        20.12.2008 11:04:08


Detected
--------
Status        Object
------        ------
deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq        File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fudtat.dll.vir
deleted: adware not-a-virus:AdWare.Win32.SuperJuan.ewq        File: C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\fviqdfqg.dll.vir


Events
------
Time        Name        Status        Reason
----        ----        ------        ------
20.12.2008 03:41:56        Running module: smss.exe\smss.exe        ok        scanned


Statistics
----------
Object        Scanned        Detected        Untreated        Deleted        Moved to Quarantine        Archives        Packed files        Password protected        Corrupted
------        -------        --------        ---------        -------        -------------------        --------        ------------        ------------------        ---------


Settings
--------
Parameter        Value
---------        -----
Security Level        Recommended
Action        Prompt for action when the scan is complete
Run mode        Manually
File types        Scan all files
Scan only new and changed files        No
Scan archives        All
Scan embedded OLE objects        All
Skip if object is larger than        No
Skip if scan takes longer than        No
Parse email formats        No
Scan password-protected archives        No
Enable iChecker technology        No
Enable iSwift technology        No
Show detected threats on "Detected" tab        Yes
Rootkits search        Yes
Deep rootkits search        No
Use heuristic analyzer        Yes


Quarantine
----------
Status        Object        Size        Added
------        ------        ----        -----


Backup
------
Status        Object        Size
------        ------        ----
PrevXCSI sagt: clean

9.) HJT

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:32, on 20.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSI\MSI.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\qlketzd (1).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = C:\Programme\Belkin\USB F5D7050\Wireless Utility\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://***.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1030227973732
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - h**ps://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe

--
End of file - 5561 bytes
Liebe Grüße,
Diana

john.doe 20.12.2008 12:40
Hallo Diana,

die Logs sehen sauber aus, du scheinst den ersten Schritt die Systemwiederherstellung auszuschalten nicht gemacht zu haben. Zeigt der Rechner noch Auffälligkeiten?

Lösche den Ordner C:\Dokumente und Einstellungen\Administrator\DoctorWeb.

Die neueste Java Version gibt es hier: Download der Java-Software von Sun Microsystems

Anstatt Acrobat Reader empfehle ich Foxit Reader, den gibt es hier: Foxit Software

Start => Ausführen => combofix /u (auf das Leerzeichen achten!) => OK

Alle anderen Programme, die wir im Laufe dieser Aktion installiert haben, solltest du deinstallieren/löschen.

Frohe Weihnachten,
andreas

lady chill 21.12.2008 19:45
Hallo Andreas,

ich habe gerade mal nachgesehen und die Systemwiederherstellung ist tatsächlich wieder aktiviert. Warum das so ist, kann ich mir allerdings nicht erklären. Am 18.12. habe ich sie deaktiviert. Hat das denn jetzt irgendwelche Auswirkungen auf die Ergebnisse?

Bis jetzt hat Avira sich nicht nochmal gemeldet. Es sieht so aus, als wäre wirklich wieder alles in Ordnung. Ich danke dir :)

Liebe Grüße und frohe Weihnachten
Diana

john.doe 21.12.2008 19:59
Zitat:
Hat das denn jetzt irgendwelche Auswirkungen auf die Ergebnisse?
Nein, nur die selbe Malware wurde immer wieder gefunden. Deaktiviere die Systemwiederherstellung noch einmal, dann ist alles endgültig weg. :daumenhoc

Frohe Weihnachten, andreas

lady chill 22.12.2008 05:44
Hello again,

alles klar, hab sie deaktiviert. Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten? Ich frage nur, weil er jedes mal wenn ich sie deaktiviere rummeckert, dass irgendwelche Änderungen dann nicht mehr rückgängig gemacht werden können usw.

Hab jetzt nochmal einen Systemscan von Avira machen lassen und es wurden noch zwei Trojaner gefunden. Einmal den TR/Vundo.Gen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001748.dll und den gleichen in C:\System Volume Information\_restore{E2A47870-D67B-408A-B20C-A8814950AED5}\RP14\A0001749.dll
Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig. :)

Gute Nacht,
Diana

john.doe 22.12.2008 16:22
Zitat:
Kann die dauerhaft aus bleiben, oder sollte ich sie irgendwann wieder anschalten?
Wenn du möchtest, kannst du sie wieder einschalten. Lies mal hier: Computerkurs - Die Systemwiederherstellung (der wichtige Punkt ist auf der 2. Seite mit der roten 1 gekennzeichnet.)
Zitat:
weil er jedes mal wenn ich sie deaktiviere rummeckert
:lach: Wenn Windows meckert, dann einfach gar nicht ignorieren. ;)
Zitat:
Ich hab ja die Hoffnung, dass sich das Ganze mit dem Deaktivieren der Systemwiederherstellung erledigt haben könnte, da im Pfad ja irgendwas von "restore" steht. Ich hoffe ich liege da richtig.
Du hast das Problem erkannt. Wenn dein Rechner scheinbar sauber ist und in der Systemwiederherstellung Malware drin ist, dann wird diese Malware bei Benutzung der SWH auch wieder aktiviert.

Frohe Weihnachten, andreas

lady chill 22.12.2008 16:56
Nee, dann lass ich die lieber aus.

Also vielen Dank nochmal, dass du meinen Kunibert vor dem sicheren Tod gerettet hast. :dankeschoen:

Frohe Weihnachten und einen guten Rutsch,
Diana


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19