Trojaner-Board - Vundo.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vundo.Gen (https://www.trojaner-board.de/42891-vundo-gen.html)

Hi
hab mir das ding hier eingefangen und krieg es im safe mode nicht raus, hier der HJT Log

Logfile of HijackThis v1.99.1
Scan saved at 23:31:26, on 31.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
D:\PSStarter\3.0\Apps\apdproxy.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\PDFree\MoTMgr.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\DOKUME~1\Barbara\LOKALE~1\Temp\AutoRun.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
D:\Hj2000.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://sww.stusta.mhn.de/proxy.pac
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: (no name) - {A3624CF3-54E1-4FD0-88EF-F9BDF3979F3A} - C:\WINDOWS\system32\fccywvt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MoTechno - protection manager.lnk = D:\Programme\PDFree\MoTMgr.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Ebates. - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - file://C:\Programme\EbatesMoeMoneyMaker4\ebatessmmm\ebatestmmm\ebmmC0.htm (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll
O20 - Winlogon Notify: vtsqq - C:\WINDOWS\system32\vtsqq.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Danke schonmal für die Hilfe

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* erstelle ein neues hjt-logfile und poste es.

Bata

Gleich beim neustart hat sich antivir wieder mit nem vundo.gen fund gemeldet!

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 23:58:56 31.08.2007

Listing files found while scanning....

C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\qqstv.tmp
C:\WINDOWS\system32\vtsqq.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\qqstv.bak1
C:\WINDOWS\system32\qqstv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\qqstv.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\qqstv.tmp
C:\WINDOWS\system32\qqstv.tmp Has been deleted!

Performing Repairs to the registry.
Done!

Vundofix findet auch noch im system32\vtsqq.dll
kann die datei im explorer aber nicht sehen

HJT log:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll

das wird von AntiVir auch noch als Vundo.Gen identifiziert, von Vundofix aber nicht

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O20 - Winlogon Notify: fccywvt - C:\WINDOWS\SYSTEM32\fccywvt.dll

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\SYSTEM32\fccywvt.dll

1. Vor dem Listen der Dateien räumen wir Deinen Rechner etwas auf.

- Lade Cleanup, führe es wie hier beschrieben aus.
- starte den Rechner neu

2. Die Stapelverabeitungsdatei laden und ausführen

- Lade Dir die complete.bat von hier
- Rechtsklick auf den Link zur
- Ziel speichern unter...
- wähle den Desktop
- dann erscheint eine complet.bat auf dem Desktop
- bei einigen Browsern wird die Dateiendung auf .html umgestellt.
Ist das der Fall, die Datei anklicken, F2 drücken und die Endung in .bat ändern, dann Enter drücken.
Die Meldung mit Ja bestätigen
- klicke auf die complet.bat

3. Insgesamt werden neun Log Dateien erstellt. Zum Ausführen der Datei benötigt man Administrationsrechte.

- Den Inhalt der Logdateien als [code][/code] posten.

Es werden nur die Dateien/Ordner der letzten 30 Tage zur Auswertung benötigt.
________________________________________________________________________

|?| : Wofür Cleanup?

Cleanup löscht Temporäre Internetdateien, den Papierkorb und den Prefetchordner. Dies ist sinnvoll um das zu postende Dateivolumen zu verringern.

|?| : Wofür complete.bat?

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb hat virus-protect diese bat-Datei erstellt, um nachzuprüfen, was sich in Windows\System32, Windows und C:\ und den temporären Dateien, C:\Programme, C:\WINDOWS\Prefetch befindet.

Bata

Der Text, den Sie eingegeben haben, besteht aus 134378 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.

hab ich was zuviel gemacht?

Zitat:

Es werden nur die Dateien/Ordner der letzten 30 Tage zur Auswertung benötigt.

:)
Und es können auch zwei posts werden.

Bata

Danke schonmal für deine Hilfe, ich fühle mich schon viel sicherer jetzt wo meien AV nicht ständig schreit LOL

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\
 

01.09.2007  10:46                 0 DC.txt

31.08.2007  22:01                 0 Neu Textdokument.txt

27.08.2007  12:38             1.257 sti.log

01.09.2007  10:28             2.000 VundoFix.txt

              16 Datei(en)  1.611.086.991 Bytes

               0 Verzeichnis(se), 79.088.156.672 Bytes frei
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\
 

01.09.2007  09:49    <DIR>          !KillBox

01.09.2007  01:08    <DIR>          $VAULT$.AVG

01.09.2007  09:48    <DIR>          Avenger

01.09.2007  01:37    <DIR>          Config.Msi

31.08.2007  16:10    <DIR>          pdf995

31.08.2007  22:32    <DIR>          Program Files

01.09.2007  10:33    <DIR>          Programme

01.09.2007  10:37    <DIR>          Temp

01.09.2007  10:26    <DIR>          VundoFix Backups

01.09.2007  10:37    <DIR>          WINDOWS

               0 Datei(en)              0 Bytes

              20 Verzeichnis(se), 79.088.091.136 Bytes frei
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\Programme
 
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\Programme
 

01.09.2007  10:33    <DIR>          .

01.09.2007  10:33    <DIR>          ..

01.09.2007  01:17    <DIR>          AntiVir PersonalEdition Classic

01.09.2007  10:33    <DIR>          CleanUp!

01.09.2007  01:45    <DIR>          Gemeinsame Dateien

27.08.2007  12:07    <DIR>          InstallShield Installation Information

15.08.2007  19:12    <DIR>          Internet Explorer

02.08.2007  23:10    <DIR>          World of Warcraft

               0 Datei(en)              0 Bytes

              72 Verzeichnis(se), 79.088.087.040 Bytes frei
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\WINDOWS
 

01.09.2007  10:44         1.987.463 WindowsUpdate.log

01.09.2007  10:42                 0 0.log

01.09.2007  10:42               159 wiadebug.log

01.09.2007  10:42                50 wiaservc.log

01.09.2007  10:42             2.048 bootstat.dat

01.09.2007  10:41            32.578 SchedLgU.Txt

01.09.2007  01:43           392.615 setupapi.log

31.08.2007  23:13           212.868 ntbtlog.txt

31.08.2007  22:03                69 NeroDigital.ini

31.08.2007  16:10                49 wpd99.drv

30.08.2007  17:34            17.465 wmsetup.log

29.08.2007  14:50           110.293 iis6.log

29.08.2007  14:50           270.177 tsoc.log

29.08.2007  14:50           243.748 comsetup.log

29.08.2007  14:50             1.374 imsins.log

29.08.2007  14:50           146.068 ntdtcsetup.log

29.08.2007  14:50            38.847 ocmsn.log

29.08.2007  14:50            21.423 KB933360.log

29.08.2007  14:50            35.170 msgsocm.log

29.08.2007  14:50           338.361 ocgen.log

29.08.2007  14:50           697.849 FaxSetup.log

27.08.2007  12:17           364.764 DirectX.log

15.08.2007  19:28            38.503 spupdsvc.log

15.08.2007  19:13             1.374 imsins.BAK

15.08.2007  19:13            15.120 KB936021.log

15.08.2007  19:13            42.944 updspapi.log

15.08.2007  19:13            14.305 KB938828.log

15.08.2007  19:13            14.453 KB921503.log

15.08.2007  19:13            14.252 KB938829.log

15.08.2007  19:12            14.013 KB938127.log

15.08.2007  19:12            17.968 KB937143.log

15.08.2007  19:12           289.356 msxml4-KB936181-enu.LOG

15.08.2007  19:11             5.067 KB936782.log

             231 Datei(en)     18.733.935 Bytes

               0 Verzeichnis(se), 79.088.070.656 Bytes frei
 
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\WINDOWS
 

15.08.2007  19:13    <DIR>          $NtUninstallKB921503$

29.08.2007  14:50    <DIR>          $NtUninstallKB933360$

15.08.2007  19:13    <DIR>          $NtUninstallKB936021$

15.08.2007  19:11    <DIR>          $NtUninstallKB936782_WMP11$

15.08.2007  19:12    <DIR>          $NtUninstallKB937143$

15.08.2007  19:12    <DIR>          $NtUninstallKB938127$

15.08.2007  19:13    <DIR>          $NtUninstallKB938828$

15.08.2007  19:13    <DIR>          $NtUninstallKB938829$

27.08.2007  12:17    <DIR>          assembly
 
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\DOKUME~1\Barbara\LOKALE~1\Temp
 

01.09.2007  10:48                 0 jupdate1.5.0.xml

01.09.2007  10:48               510 jusched.log

01.09.2007  10:44               512 ~DF142.tmp

01.09.2007  10:44           327.680 ~DF21.tmp

01.09.2007  10:44               512 ~DF7E31.tmp

01.09.2007  10:44           327.680 ~DF79EC.tmp

01.09.2007  10:43            16.384 ~DFEE1B.tmp

01.09.2007  10:43               512 ~DFC42C.tmp

01.09.2007  10:43            16.384 ~DFC3EF.tmp

01.09.2007  10:43            16.384 ~DFEE80.tmp

              10 Datei(en)        706.558 Bytes

               0 Verzeichnis(se), 79.087.874.048 Bytes frei
 
 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 541C-3B3F
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

01.09.2007  10:48            14.084 NOTEPAD.EXE-336351A9.pf

01.09.2007  10:48            24.748 JUCHECK.EXE-088F15E6.pf

01.09.2007  10:48             8.414 JAVA.EXE-06005739.pf

01.09.2007  10:46            15.126 CMD.EXE-087B4001.pf

01.09.2007  10:46            11.936 VERCLSID.EXE-3667BD89.pf

01.09.2007  10:45            64.318 FIREFOX.EXE-28BE8AE1.pf

01.09.2007  10:44            13.552 GETPOPUPINFO.EXE-01E7AAF8.pf

01.09.2007  10:44            49.512 USNSVC.EXE-1D8C2356.pf

01.09.2007  10:44            75.156 COMPONENTLAUNCHER.EXE-268CD12F.pf

01.09.2007  10:44            20.104 WUAUCLT.EXE-399A8E72.pf

01.09.2007  10:43             2.666 MOTMGR.EXE-01ED8344.pf

01.09.2007  10:43            12.422 WINCINEMAMGR.EXE-04A7509F.pf

01.09.2007  10:43            14.428 NMINDEXSTORESVR.EXE-1DBCF9FD.pf

01.09.2007  10:43            10.166 READER_SL.EXE-36135169.pf

01.09.2007  10:43            14.986 NMINDEXINGSERVICE.EXE-19799BA6.pf

01.09.2007  10:43            11.586 NMBGMONITOR.EXE-0BC10095.pf

01.09.2007  10:43            29.702 ICQLITE.EXE-2AEFACA7.pf

01.09.2007  10:43            21.632 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf

01.09.2007  10:43            13.240 SMARTDOCTOR.EXE-06E70190.pf

01.09.2007  10:43            24.826 MSNMSGR.EXE-091111D0.pf

01.09.2007  10:43            17.876 ADOBEUPDATEMANAGER.EXE-2BB88D51.pf

01.09.2007  10:43            11.034 ITUNESHELPER.EXE-1CC2818B.pf

01.09.2007  10:43             8.746 QTTASK.EXE-2D7EEF34.pf

01.09.2007  10:43            11.156 FPASSIST.EXE-18368AA2.pf

01.09.2007  10:43            10.186 NWIZ.EXE-2D0F9FBC.pf

01.09.2007  10:43            14.874 DAEMON.EXE-28AD7272.pf

01.09.2007  10:43            16.618 REALSCHED.EXE-0A2A7558.pf

01.09.2007  10:43            39.592 APDPROXY.EXE-38521768.pf

01.09.2007  10:43             7.682 NEROCHECK.EXE-1BD71082.pf

01.09.2007  10:43           903.418 NTOSBOOT-B00DFAAD.pf

              30 Datei(en)      1.493.786 Bytes

               0 Verzeichnis(se), 79.087.656.960 Bytes frei

Lösche die Ordner

C:\!KillBox
C:\VundoFix Backups

Dann:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Poste und berichte.

Bata

Ergebnis des rapport TXT. Scan liefert keine Funde.

mitFraudFix v2.219

Scan done at 22:21:56,34, 09.09.2007
Run from C:\Dokumente und Einstellungen\Barbara\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6508FF90-A072-4253-B915-05BBBDFDBBEB}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Ok erstelle ein neues HJT Log. Wichtig: Benenne HJT in irgendwas.com um!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Hab nur einen Link gefunden.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:11:54, on 10.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
D:\PSStarter\3.0\Apps\apdproxy.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\ATKKBService.exe
D:\Programme\PDFree\MoTMgr.EXE
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\iTunes\iTunes.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_09\bin\jucheck.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Dokumente und Einstellungen\Barbara\Desktop\this.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://**stusta.mhn.de/proxy.pac
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {90A71BF1-70AF-4830-A9B8-6D1B4EDF7378} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\PSStarter\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

Dein Log ist warum auch immer unvollständig.
Bitte erstelle ein neues Log, lass HJT erst ganz durchlaufen.