Trojaner-Board - IE Werbungsspam -.-

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE Werbungsspam -.- (https://www.trojaner-board.de/70749-ie-werbungsspam.html)

IE Werbungsspam -.-

Hallöle an alle ^^

Ich hab mal wieder ein Problem undzwar Hab ich auf einmal Sehr oft Werbung in meinem Internet explorer, manchmal kommen soviel auf einmal das sich mein anzer rechner aufhängt:headbang: . Ihc hoffe ihr könnt mir helfen Hier mein LOgfile

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:06:57, on 07.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Steam\Steam.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\explorer.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ec494815] rundll32.exe "C:\WINDOWS\system32\qpwffoay.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab

O20 - AppInit_DLLs: wxjazv.dll

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 3039 bytes

PS: Kann das sein dass die logfiles auch malk Größer waren?? :uglyhammer:

also du hast 1virus und zwar hier
O4 - HKLM\..\Run: [ec494815] rundll32.exe "C:\WINDOWS\system32\qpwffoay.dll",b
lass mal online scanner drüberlaufen wie virusscanoder deinen antivirus wenn dein antivirus nix findet mach den onlinescan wenn da was gefunden wird lade malwarebytes runter.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

*hüstel* alt

aktuell sind internet explorer 7 und service pack 3.

ersteren solltest du erst recht installieren wenn du mit dem teil surfst^^ (nimm lieber gleich firefox oder opera.)

aber jetzt kannst du dir das erst mal schenken (eventuell musst du die kiste eh plätten :killpc: )

gruß flo :party:

Wie jenz schon wieder neu aufsetzen?? -.- meine WIN XP CD ist doch vom letzten mal Warm xDD also ich versuch erstmal den virus runter zu bekommen denn kommt firefox drauf und zu SP3 halte ich noch garnichts weil als ich es letztes mal drauf hatte lief es darauf hinaus das ich die kiste neu aufsetzen konnte ^^

PS:Danke schonmal für die antworten ^^

hier mal ein virus total log

Code:

a-squared 4.0.0.101 2009.03.07 Trojan.Win32.Vundo!IK 

AhnLab-V3 5.0.0.2 2009.02.27 - 

AntiVir 7.9.0.105 2009.03.07 TR/Crypt.XPACK.Gen 

Authentium 5.1.0.4 2009.03.06 - 

Avast 4.8.1335.0 2009.03.06 - 

AVG 8.0.0.237 2009.03.06 - 

BitDefender 7.2 2009.03.07 - 

CAT-QuickHeal 10.00 2009.03.07 - 

ClamAV 0.94.1 2009.03.06 - 

Comodo 1030 2009.03.06 - 

DrWeb 4.44.0.09170 2009.03.07 - 

eSafe 7.0.17.0 2009.03.05 Suspicious File 

eTrust-Vet 31.6.6386 2009.03.06 - 

F-Prot 4.4.4.56 2009.03.06 W32/Virtumonde.AR.gen!Eldorado 

F-Secure 8.0.14470.0 2009.03.07 - 

Fortinet 3.117.0.0 2009.03.07 - 

GData 19 2009.03.07 - 

Ikarus T3.1.1.45.0 2009.03.07 Trojan.Win32.Vundo 

K7AntiVirus 7.10.660 2009.03.06 - 

Kaspersky 7.0.0.125 2009.03.07 - 

McAfee 5545 2009.03.06 - 

McAfee+Artemis 5545 2009.03.06 - 

Microsoft 1.4405 2009.03.07 Trojan:Win32/Vundo.gen!Y 

NOD32 3916 2009.03.07 - 

Norman 6.00.06 2009.03.06 - 

nProtect 2009.1.8.0 2009.03.07 - 

Panda 10.0.0.10 2009.03.06 Trj/CI.A 

PCTools 4.4.2.0 2009.03.07 - 

Prevx1 V2 2009.03.07 High Risk Fraudulent Security Program 

Rising 21.19.42.00 2009.03.06 - 

SecureWeb-Gateway 6.7.6 2009.03.07 Trojan.Crypt.XPACK.Gen 

Sophos 4.39.0 2009.03.07 Troj/Virtum-Gen 

Sunbelt 3.2.1858.2 2009.03.07 VIPRE.Suspicious 

Symantec 1.4.4.12 2009.03.07 Trojan.Vundo 

TheHacker 6.3.2.7.274 2009.03.07 - 

TrendMicro 8.700.0.1004 2009.03.06 - 

VBA32 3.12.10.1 2009.03.07 - 

ViRobot 2009.3.7.1639 2009.03.07 - 

VirusBuster 4.5.11.0 2009.03.06 -

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Oha dass sieht finster aus -.- kann mir wer sagen was dieser virus (Vundo) ist und was er macht weil ich hatte den schonmal -.- Wie fängt mann sich den eigentlich ein? Hier mal der Log von malware bytes

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1825

Windows 5.1.2600 Service Pack 2
 

07.03.2009 13:57:34

mbam-log-2009-03-07 (13-57-31).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 93705

Laufzeit: 21 minute(s), 27 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 5

Infizierte Registrierungsschlüssel: 18

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 19
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\system32\doccmamf.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\pmnmjHwu.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\qoMcyXpQ.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\cltwyuwg.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\qqcdik.dll (Trojan.Vundo.H) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomcyxpq (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9aa1b8cb-c665-4e20-b6ad-b5533f1dbf55} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{9aa1b8cb-c665-4e20-b6ad-b5533f1dbf55} (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b107f7a6-ae4e-4f46-8556-990add016f7e} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{b107f7a6-ae4e-4f46-8556-990add016f7e} (Trojan.Vundo.H) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b107f7a6-ae4e-4f46-8556-990add016f7e} (Trojan.Vundo.H) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9aa1b8cb-c665-4e20-b6ad-b5533f1dbf55} (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ec494815 (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnmjhwu -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\pmnmjhwu  -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\qoMcyXpQ.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\qqcdik.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\pmnmjHwu.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\uwHjmnmp.ini (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\uwHjmnmp.ini2 (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\doccmamf.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\fmamccod.ini (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\qpwffoay.dll (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\yaoffwpq.ini (Trojan.Vundo.H) -> No action taken.

C:\WINDOWS\system32\cltwyuwg.dll (Trojan.Vundo.H) -> No action taken.

C:\Dokumente und Einstellungen\CS TAKTIKER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LEJSHEJ\apstpldr.dll[1].htm (Trojan.Vundo) -> No action taken.

C:\Dokumente und Einstellungen\CS TAKTIKER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9MJWTUJ\index[1] (Trojan.Vundo.H) -> No action taken.

C:\Dokumente und Einstellungen\CS TAKTIKER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VHCU8GGF\qw[1] (Trojan.Vundo.H) -> No action taken.

C:\RECYCLER\S-1-5-21-1417001333-412668190-725345543-1004\Dc24.games\dragon naturallyspeaking pro v9.exe (Trojan.Agent) -> No action taken.

C:\RECYCLER\S-1-5-21-1417001333-412668190-725345543-1004\Dc24.games\Nuance.Dragon.Naturally.Speaking.v10.Preferred.GERMAN_SFD  .exe (Worm.AutoRun) -> No action taken.

C:\System Volume Information\_restore{AD8E3D72-C39B-4A4E-B8B4-DA727FE658E7}\RP12\A0007040.exe (Trojan.Agent) -> No action taken.

C:\System Volume Information\_restore{AD8E3D72-C39B-4A4E-B8B4-DA727FE658E7}\RP12\A0007041.exe (Trojan.Vundo) -> No action taken.

C:\System Volume Information\_restore{AD8E3D72-C39B-4A4E-B8B4-DA727FE658E7}\RP13\A0007044.exe (Worm.AutoRun) -> No action taken.

C:\WINDOWS\system32\nnnlkiIB.dll (Trojan.Vundo) -> No action taken.

Hier der Combofix log ^^

Code:

ComboFix 09-03-06.02 - CS TAKTIKER 2009-03-07 14:18:32.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1279.855 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\CS TAKTIKER\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\cltwyuwg.dll

c:\windows\system32\doccmamf.dll

c:\windows\system32\fmamccod.ini

c:\windows\system32\mglmglcs.dll

c:\windows\system32\pmnmjHwu.dll

c:\windows\system32\qoMcyXpQ.dll

c:\windows\system32\qqcdik.dll

c:\windows\system32\uwHjmnmp.ini

c:\windows\system32\uwHjmnmp.ini2

c:\windows\system32\wxjazv.dll

c:\windows\Tasks\faojtzmh.job
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-02-07 bis 2009-03-07  ))))))))))))))))))))))))))))))

.
 

2009-03-07 14:09 . 2009-03-07 14:10        <DIR>        d--------        c:\programme\CCleaner

2009-03-07 13:33 . 2009-03-07 13:33        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\Malwarebytes

2009-03-07 13:33 . 2009-02-11 10:19        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-07 13:33 . 2009-02-11 10:19        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2009-03-07 13:30 . 2009-03-07 13:33        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-03-07 13:30 . 2009-03-07 13:30        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-03-07 07:06 . 2009-03-07 07:06        <DIR>        d--------        c:\programme\Trend Micro

2009-03-06 17:28 . 2004-08-03 23:08        26,496        --a--c---        c:\windows\system32\dllcache\usbstor.sys

2009-03-06 06:28 . 2009-03-06 06:40        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\vlc

2009-03-06 06:27 . 2009-03-06 06:27        <DIR>        d--------        c:\programme\VideoLAN

2009-03-05 21:03 . 2009-03-07 06:38        <DIR>        d--------        c:\programme\Alphaload Software

2009-03-05 21:03 . 2009-03-05 21:03        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\.Alphaload

2009-03-05 21:03 . 2009-03-07 07:03        <DIR>        d--------        C:\Alphaload

2009-03-04 19:31 . 2009-03-04 19:31        <DIR>        d---s----        c:\programme\HLSW

2009-03-04 19:31 . 2009-03-05 17:11        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\HLSW

2009-03-02 14:58 . 2009-03-02 15:00        <DIR>        d--------        c:\programme\ICQ6.5

2009-03-02 14:58 . 2009-03-02 15:00        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\ICQ

2009-03-02 06:47 . 2009-02-19 00:11        2,806,522        --a------        c:\windows\system32\GameMon.des

2009-03-02 06:45 . 2009-03-02 06:45        <DIR>        d--------        C:\Program Files

2009-03-02 06:45 . 2003-07-19 16:17        5,174        --a------        c:\windows\system32\nppt9x.vxd

2009-03-02 06:45 . 2005-01-03 07:43        4,682        --a------        c:\windows\system32\npptNT2.sys

2009-03-02 06:13 . 2009-03-02 06:13        <DIR>        d--------        C:\Ntreev

2009-03-01 23:20 . 2009-03-01 23:20        <DIR>        d--------        c:\programme\Ubisoft

2009-03-01 02:19 . 2009-03-01 02:19        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\temp

2009-03-01 02:19 . 2009-03-01 02:21        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\TeamViewer

2009-02-28 23:47 . 2009-02-28 23:47        <DIR>        d---s----        c:\dokumente und einstellungen\CS TAKTIKER\UserData

2009-02-28 23:44 . 2009-02-28 23:44        <DIR>        d--------        c:\programme\Voice Flux Pro

2009-02-28 22:41 . 2009-02-28 22:41        276        --a------        c:\windows\game.ini

2009-02-28 22:37 . 2009-02-28 22:37        <DIR>        d--------        c:\programme\Activision

2009-02-28 22:34 . 2009-02-28 22:34        <DIR>        d--hs----        c:\windows\ftpcache

2009-02-28 01:45 . 2009-03-01 23:08        <DIR>        d--------        c:\programme\Neffy

2009-02-27 23:56 . 2009-02-27 23:56        <DIR>        d--------        c:\programme\Teamspeak2_RC2

2009-02-27 23:56 . 2009-02-27 23:56        <DIR>        d--------        c:\dokumente und einstellungen\CS TAKTIKER\Anwendungsdaten\teamspeak2

2009-02-27 23:56 . 2009-02-27 23:56        34,064        --a------        c:\windows\system32\lhacm.acm

2009-02-27 07:03 . 2009-02-27 12:40        <DIR>        d--------        c:\windows\nview

2009-02-27 07:03 . 2005-11-11 13:47        180,224        --a------        c:\windows\system32\nvudisp.exe

2009-02-27 07:03 . 2009-03-07 14:40        43,209        --a------        c:\windows\system32\nvapps.xml

2009-02-27 07:03 . 2005-11-11 13:47        16,356        --a------        c:\windows\system32\nvdisp.nvu

2009-02-27 05:28 . 2009-02-27 06:15        <DIR>        d--------        c:\windows\system32\CatRoot_bak

2009-02-27 05:12 . 2008-08-14 14:42        2,182,656        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe

2009-02-27 05:12 . 2008-08-14 14:42        2,138,624        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe

2009-02-27 05:12 . 2008-08-14 14:42        2,060,032        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe

2009-02-27 05:12 . 2008-08-14 14:42        2,018,304        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe

2009-02-27 05:05 . 2008-06-14 18:57        273,024        ---------        c:\windows\system32\drivers\bthport.sys

2009-02-27 05:05 . 2008-06-14 18:57        273,024        -----c---        c:\windows\system32\dllcache\bthport.sys

2009-02-27 04:34 . 2008-10-24 12:10        453,632        -----c---        c:\windows\system32\dllcache\mrxsmb.sys

2009-02-27 03:00 . 2006-05-25 10:29        22,752        --a------        c:\windows\system32\spupdsvc.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-07 13:40        ---------        d-----w        c:\programme\Steam

2009-03-02 13:59        ---------        d--h--w        c:\programme\InstallShield Installation Information

2009-03-02 05:17        11,973        ----a-w        c:\windows\system32\drivers\secdrv.sys

2009-02-28 21:35        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2009-02-26 22:45        ---------        d-----w        c:\programme\NVIDIA Corporation

2009-02-26 22:45        ---------        d-----w        c:\programme\Gemeinsame Dateien\NVIDIA Shared

2009-02-26 22:29        ---------        d-----w        c:\programme\microsoft frontpage

2009-02-26 22:27        ---------        d-----w        c:\programme\Online-Dienste

2009-02-26 22:26        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]

"Steam"="c:\programme\steam\steam.exe" [2009-02-26 1410296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-11 7311360]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-11-11 86016]

"nwiz"="nwiz.exe" [2005-11-11 c:\windows\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=qqcdik.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Steam\\steamapps\\reiner248\\counter-strike\\hl.exe"=

"c:\\Programme\\Steam\\steamapps\\reiner248\\condition zero\\hl.exe"=

"c:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Dokumente und Einstellungen\\CS TAKTIKER\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\pandora.exe"=

"c:\\Ntreev\\Grand Chase\\main.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Ubisoft\\Splinter Cell Pandora Tomorrow\\online\\System\\shadowstrike_static_retail.exe"=

"c:\\Programme\\Steam\\steamapps\\reiner248\\condition zero deleted scenes\\hl.exe"=

"c:\\Programme\\HLSW\\hlsw.exe"=
 

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-VoiceFlux - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} - hxxp://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-07 14:41:00

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\rundll32.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-03-07 14:43:14 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-03-07 13:43:12
 

Vor Suchlauf: 12 Verzeichnis(se), 54.592.385.024 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 55,227,392,000 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

153        --- E O F ---        2009-02-28 02:00:39

PS:Vielen dank schonmal das ihr euch zeit für mich genommen habt ^^:party:

Ich hoffe du hast alles entfernen lassen was Malwarebytes gefunden hat. ;)

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Gibt es denn sonst noch Probleme mit dem System?! :confused:

Sunny

DAnke schonmal ich mach gerade den scan mit malwarebytes bis jetzt hat er noch ein virus gefunden:teufel1: ich schicke gleich mal den post ^^

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1825

Windows 5.1.2600 Service Pack 2
 

07.03.2009 15:03:26

mbam-log-2009-03-07 (15-03-26).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 79032

Laufzeit: 15 minute(s), 21 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{AD8E3D72-C39B-4A4E-B8B4-DA727FE658E7}\RP15\A0007251.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Hab vorsichtshalber nochmal ein Hijackthis logfile gemacht ^^ sicher ist sicher ^^

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:05:43, on 07.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\programme\steam\steam.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab

O20 - AppInit_DLLs: qqcdik.dll

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 3008 bytes

Das ist normal das dort jetzt noch was gefunden wurde. ;)

Gibt es denn noch Probleme mit dem System?!

Nein das wars denn soweit ^^ denn bedanke ich mich nochmal bei euch ^^ ihr macht echt gute arbeit ^.^ und denker der Threat kann geschlossen werden ^.^:dankeschoen: