Virtumonde/Trojaner "Vundo" [Benötige Hilfe]
 

Hallo!

Vorweg: Mein Problem ist nicht neu (im Forum). Dazu habe ich mir hier schon einige Beiträge angesehen. Der für mich am passendsten war, ist leider schon "etwas" alt (von 2005) und daher kann ich die sehr ausführliche Beseitigungsbeschreibung leider nicht anwenden. Die Programme zur Lösung sind bereits überholt, bzw. einige Links sind für mich nicht mehr nachvollziehbar.

Ich leg mal los...

Angefangen hat alles mit Fehlermeldungen meines Virenprogramms (Antivir), dass sich hinter diversen Dateien (unter "c:\windows/system32") der Trojaner "Vundo" verbirgt. Daraufhin habe ich alles mögliche ausprobiert, leider mit begrenztem Erfolg.

Von Atribune habe ich VundoFix heruntergeladen. In einem Forum (welches???) hatte ein Freund von mir gelesen, dass ein Leidensgenosse damit auch keinen großen Erfolg hatte und die Probleme mit FixVundo von Symantec in den Griff bekommen hätte. Das hatte ich probiert und ich konnte auch einen Fund verzeichnen und diesen beseitigen. Mein Problem war damit aber leider nicht behoben. Auch mit Ad-Aware und Spybot bin ich nicht zurecht gekommen. Stutzig bin ich geworden, als ich bei jedem neuen Scan mit Spybot Virtumonde stets immer wieder aufs neue gefunden habe.

Zusätzlich hat mir jemand empfohlen, ich solle doch mal einen Online-Scan machen.
Ich habe bei trendmicro.de den Housecall genutzt und bei f-secure.com den Online-Scanner.

Mit beidem hatte ich kein Glück.
Bei trendmicro hat sich mein Browser (IE) selbst einfach geschlossen. Daher habe ich den Firefox benutzt. Als Scanergebnis wurden mir CRYP_TAP-2 und TROJ_Vundo.AQY angezeigt. Diese konnten nicht komplett automatisch gelöscht werden und ich sollte die dll-Dateien manuell löschen.

Gelöscht habe ich unter "system32":
dadaxlwn.dll, glrmaelv.dll, oaklsucq.dll, qbwavngr.dll, tbdjygyb.dll

Nicht löschen konnte/kann ich:
jkklm.dll

Bei F-Secure konnte ich die Suche zwar beenden, allerdings geht der Browser spätestens dann zu, wenn man auf Bereinigung geht. Superärgerlich, wenn man vorher ca. 30 - 45 min gewartet hat!!! Leider ist eine Nutzung nur mit dem IE möglich...

Vielleicht kann mir jemand bei der Beseitigung des Problems (Internet Explorer geht einfach zu; auf Sportseiten, die ich schon lange nutze habe ich auf einmal Popups am Rand mit leicht bekleideten Menschen in verschiedenen Varianten ;) ; obwohl keine Verbindung zum Internet besteht kommt ein Fenster, dass Seiteninhalte nicht im Offlinemodus angezeigt werden können; MalwareAlarm (was auch immer das ist) macht sich selbst auf und möchte gern mein System scannen,... etc.) helfen???
Leider bin ich nur eine ganz klassische Anwenderin und leider mit vielen PC-spezifischen Begriffen nicht vertraut. Zudem "kämpfe" ich nun schon seit einigen Tagen und bin ziemlich abgefressen und weiß nicht, ob ich bei einer intensiveren Suche hier im Forum die Lösung schon eventuell gefunden hätte. So langsam habe ich das Brett vor'm Kopp! ;)

Vielen Dank schon mal vorab!!!
Ich weiß nicht, ob noch weitere Info's gebraucht werden...!?

Grüße vom Nasenbähr

hi

am besten einmal ein hijackthis logfile machen und hier posten:daumenhoc

Einleitung für Hijackthis

Hallo Virus!

Vielen Dank für die Antwort! Hier kommt auch prompt mein LogFile... (Hatte mich schon gefragt wie man so was macht... ;) )

Grüße vom Nasenbähr

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:31:00, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Irene\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)
O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: {7a47b2c6-c780-1eba-0de4-cf63c055947c} - {c749550c-36fc-4ed0-abe1-087c6c2b74a7} - C:\WINDOWS\system32\ughmftoj.dll
O2 - BHO: (no name) - {E9383002-FC55-4330-B9C9-67E03BC5C840} - C:\WINDOWS\system32\cbxwttr.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [strtfx] C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [8e95eacd] rundll32.exe "C:\WINDOWS\system32\wxpiwyjk.dll",b
O4 - HKLM\..\Run: [BM8da6d951] Rundll32.exe "C:\WINDOWS\system32\fgnwgtfw.dll",s
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_activex/de/TSEasyInstallX.CAB
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: cbxwttr - C:\WINDOWS\SYSTEM32\cbxwttr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9013 bytes

hi

bitte auch noch diese einträge fixen:

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)

O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)

ansonsten hat usagi glaube ich alles erwischt;)

ps. bitte nach all diesen aktionen neues logfile erstellen und posten.
bitte auch die reports von virustotal posten danke

Hallo zusammen. Ich habe genau dasselbe Problem wie oben beschrieben. Habe diverse Remover ausprobiert, haben aber alle nichts gebracht. Hoffe jemand kann schnelle Hilfe leisten.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:52, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Winamp\winamp.exe
D:\Transfer\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearflix.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BM2702e59d] Rundll32.exe "C:\WINDOWS\system32\cbsgdqnr.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2006\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\User\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15035/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E2C4638-34FC-42B1-98D9-FB4C2902AE83}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D280E0-C18D-4864-9C92-EB7B673DBA96}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10472 bytes

@BornToBe: Bitte mach deinen eigenen Thread auf -.-'

Tut mir Leid, ich hatte gedacht,da ich dasselbe Problem habe wäre es ok es hier zu posten.

Hallo Usagi, hallo Virus!

Vielen Dank für die Auflistungen.

Eure genannten Einträge habe ich gefixt. Nur die (von Virus) genannten

O2 - BHO: (no name) - {260F1072-1C3F-4AF5-A52D-C1C48537B922} - C:\WINDOWS\system32\jkklm.dll (file missing)

O2 - BHO: (no name) - {50E311A8-4542-4B4D-A964-828689517E0F} - (no file)

wurden mir nicht mehr aufgelistet. Wat nu...???

Die folgenden (von Usagi genannten) Dateien wollte/habe ich bei VirusTotal überprüfen lassen:

1.) C:\WINDOWS\system32\ughmftoj.dll
2.) C:\WINDOWS\system32\cbxwttr.dll[/b]
3.) C:\WINDOWS\system32\wxpiwyjk.dll",b
4.) C:\WINDOWS\system32\fgnwgtfw.dll
5.) C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
6.) C:\WINDOWS\SYSTEM32\cbxwttr.dll

Ergebnis zu 1.)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.93248.2
AVG 7.5.0.516 2008.03.25 Lop
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Norman 5.80.02 2008.03.25 W32/Virtumonde.QUH
Prevx1 V2 2008.03.25 Downloader.Zlob
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.93248.2

weitere Informationen
File size: 93248 bytes
MD5: 45f866070174e504d20c39deac711aaa
SHA1: 9ff622a53336b9e08d6315e1c63f4f88d1c56ebe
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=433C529940765AF36CB4013B331F3A00F89EF1FD

Ergebnis zu 2.)/6.) (sind 2. und 6. identisch???)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 ADSPY/Virtumonde.37376.3
AVG 7.5.0.516 2008.03.25 Generic10.AHV
BitDefender 7.2 2008.03.25 Trojan.Vundo.ECP
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Fortinet 3.14.0.0 2008.03.25 Adware/Virtum
Ikarus T3.1.1.20 2008.03.25 Trojan.Vundo.ECP
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5258 2008.03.24 Vundo
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
NOD32v2 2971 2008.03.25 Win32/Adware.Virtumonde
Norman 5.80.02 2008.03.25 W32/Virtumonde.MZZ
Prevx1 V2 2008.03.25 SpywareQuake
Rising 20.37.02.00 2008.03.24 AdWare.Win32.Vundo.b
Sophos 4.27.0 2008.03.25 Troj/Virtum-Gen
Symantec 10 2008.03.25 Trojan.Vundo
TheHacker 6.2.92.253 2008.03.25 Adware/Virtumonde.gen
VBA32 3.12.6.3 2008.03.25 AdWare.Win32.Virtumonde.gen
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen.20
Webwasher-Gateway 6.6.2 2008.03.25 Ad-Spyware.Virtumonde.37376.3

weitere Informationen
File size: 37376 bytes
MD5: 6a692e07e449af9ff981fe3429987a7a
SHA1: bca53441fbf17e52a39366dc0c72b32b4d7f824b
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8110138D00E815B3922D001DA7C16B003878ECD3

Ergebnis zu 3.)

Antivirus Version letzte aktualisierung Ergebnis
AVG 7.5.0.516 2008.03.25 Lop
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Rising 20.37.02.00 2008.03.24 AdWare.Win32.Virtumonde.ggs
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18

weitere Informationen
File size: 89152 bytes
MD5: 837ce6894289dba303833a441fd522b2
SHA1: 1718f75d7d0fe93eaf4d7f5575b25bae531de9f2
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E1BF3481403B5A665C6B0117D069160029BD8F7A

Ergebnis zu 4.)

Antivirus Version letzte aktualisierung Ergebnis
AntiVir 7.6.0.75 2008.03.25 TR/Vundo.EER
BitDefender 7.2 2008.03.25 Trojan.Vundo.EER
F-Prot 4.4.2.54 2008.03.24 W32/Virtumonde.G.gen!Eldorado
Kaspersky 7.0.0.125 2008.03.25 not-a-virus:AdWare.Win32.Virtumonde.gen
Microsoft 1.3301 2008.03.25 Trojan:Win32/Vundo.gen!D
Norman 5.80.02 2008.03.25 W32/Virtumonde.QUK
Panda 9.0.0.4 2008.03.25 Suspicious file
Prevx1 V2 2008.03.25 Downloader.Zlob
Sophos 4.27.0 2008.03.25 Sus/Behav-200
VirusBuster 4.3.26:9 2008.03.25 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.25 Trojan.Vundo.EER

weitere Informationen
File size: 92224 bytes
MD5: 1b62e7c3695627993e150d7aaa3af394
SHA1: c7fa34c01c44e982542c339cd92213202bdacc4e
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=357604F240982B4D682A016EF53897001B3B6000

Bemerkung zu 5.)

Diese Datei habe ich nicht zum Hochladen gefunden!!!

So, nun kommt noch eine kleine Hürde...

Ich kann zwar ein neues Logfile erstellen, allerdings schließt sich HiJackThis, wenn ich auf den Button "Save log" gehe. Und nü...??? :(

Merci und Gruß vom Nasenbähr

Die Vundo's bekommen wir mit etwas Glück alle wieder weg , aber bei Zlob ist es schon ein bisschen schwieriger.
Zur Entfernung von Zlob folge bitte dieser Anleitung:
http://www.trojaner-board.de/30411-a...-von-zlob.html
Wie auch schon GUA in der Anleitung aufmerksam macht:
Könntest Du auch diese Anleitung zu Herzen nehmen :http://www.trojaner-board.de/12154-a...sicherung.html

Hallo

evtl. hab ich ja was übersehen aber wo versteckt sich der Zlob:teufel1:?

@Nasenbähr noch nicht formatieren bitte


MFG

@nochdigger:
Oder sehe ich das falsch ?

huhu ich hab zwar überhaupt keine ahnung aber den vundo trojaner hab ich durch Bit defender weg bekommen, denn ich hatte auch den vundo... was bit defnder nicht löscht versuch das mal mit dem scan programm vundo fix (googeln) wie gesagt kenn mich gar nicht aus aber bei mir hats geholfen

Moin

es würde mich zwar etwas wundern, aber schön für dich:)


@Nasenbähr bitte diese beiden Anleitungen abarbeiten und anschließend die Logs hierher posten.

Vundofix
combofix

dann sehen wir weiter.

MFG

Guten Morgen!

Ich probier das jetzt mal aus mit Vundo und Combo.
Die Anleitung von Zlob arbeite ich doch aber auch noch ab, oder!?

Gruß vom Nasenbähr

Hier nun noch das LogFile von Combo...

ComboFix 08-03-25.3 - *** 2008-03-26 8:34:35.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.85 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8da6d951.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cbxwttr.dll
C:\WINDOWS\system32\eobtbjcl.dll
C:\WINDOWS\system32\fgnwgtfw.dll
C:\WINDOWS\system32\kjywipxw.ini
C:\WINDOWS\system32\ljgsituy.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mllmm.dll
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mmllm.ini2
C:\WINDOWS\system32\podstutg.dll
C:\WINDOWS\system32\ptmvmjgb.dll
C:\WINDOWS\system32\ughmftoj.dll
C:\WINDOWS\system32\wxpiwyjk.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 08:27 . 2008-03-26 08:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-24 00:31 . 2008-03-24 00:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Softplicity
2008-03-22 15:47 . 2008-03-24 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-03-21 23:15 . 2008-03-24 10:20 1,543,939 ---hs---- C:\WINDOWS\system32\bygyjdbt.ini
2008-03-21 14:05 . 2008-03-22 12:53 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-21 02:47 . 2008-03-21 02:47 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-20 23:51 . 2008-03-21 15:33 <DIR> d-------- C:\Programme\Opera
2008-03-20 22:21 . 2005-06-13 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-03-20 22:21 . 2005-06-13 11:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-20 22:21 . 2005-06-13 11:32 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-20 22:21 . 2005-06-13 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-20 22:21 . 2005-07-22 07:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-20 21:52 . 2008-03-20 21:49 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-03-20 21:49 . 2008-03-24 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\.housecall6.6
2008-03-20 21:49 . 2005-04-13 03:48 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-03-20 21:48 . 2008-03-20 21:48 <DIR> d-------- C:\Programme\Java
2008-03-20 21:47 . 2008-03-20 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-20 19:08 . 2008-03-20 19:08 <DIR> d-------- C:\fsaua.data
2008-03-20 18:58 . 2008-03-21 14:38 1,540,292 ---hs---- C:\WINDOWS\system32\vleamrlg.ini
2008-03-19 10:56 . 2007-10-12 13:00 44,544 -ra------ C:\WINDOWS\system32\msxml4a.dll
2008-03-19 10:55 . 2008-03-21 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX
2008-03-19 10:50 . 2008-03-21 01:05 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-19 10:48 . 2008-03-19 10:51 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-19 10:41 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-19 10:41 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-19 10:41 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-19 10:41 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-19 10:41 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-19 10:41 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-19 10:41 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-19 10:41 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-19 10:41 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-19 10:03 . 2008-03-22 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-19 00:23 . 2008-03-19 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2008-03-18 21:27 . 2008-03-18 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-18 21:27 . 2008-03-18 21:27 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-18 21:27 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-18 21:26 . 2008-03-18 21:27 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-18 20:28 . 2008-03-18 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-18 20:25 . 2008-03-18 21:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-18 18:08 . 2008-03-18 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\BearShare
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SopCast
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-03-18 18:07 . 2008-03-18 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AOL
2008-03-18 18:07 . 2008-03-18 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-18 12:29 . 2008-03-24 17:04 <DIR> d-------- C:\VundoFix Backups
2008-03-16 21:00 . 2008-03-16 21:00 63 --a------ C:\WINDOWS\system32\8e95f843

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 20:30 --------- d-----w C:\Programme\audiograbber
2008-03-19 09:33 --------- d-----w C:\Programme\QuickTime
2008-03-18 19:29 --------- d-----w C:\Programme\Lavasoft
2008-03-18 19:29 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Lavasoft
2008-03-18 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-18 17:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-02-09 16:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
2008-02-09 15:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia Multimedia Player
2008-02-01 18:11 --------- d-----w C:\Programme\Windows Media Connect 2
2008-02-01 18:08 --------- d-----w C:\Programme\Windows Media Connect
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{260F1072-1C3F-4AF5-A52D-C1C48537B922}]
C:\WINDOWS\system32\jkklm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2004-09-30 07:44 7957504]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 00:07 32768]
"nwiz"="nwiz.exe" [2005-04-01 15:16 1495040 C:\WINDOWS\system32\nwiz.exe]
"strtfx"="C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe" [2003-10-10 15:05 24576]
"sndml"="C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe" [2003-10-09 16:00 32768]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-07-15 14:32 26112]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 18:55 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 15:16 5562368]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-06-15 11:36 229376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 15:16 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48 36975]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxwttr]
cbxwttr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\GMX\\gmx_Update.exe"=

R2 AdminSVC;GMX Browser Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe [2007-10-12 13:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
S3 dtwmnic5;DeTeWe OpenCom 30 plus;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-18 21:27]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-26 07:39:43 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 08:40:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 8:44:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-26 07:44:07

... mit VundoFix wurde nichts gefunden!

Gruß vom Nasenbähr

Starte den PC im abgesicherten Modus.
Dafür F8 beim Booten drücken.
Dann führe VundoFix noch mal durch und mache einen PC-Komplettscan. Danach noch ein neues Log mit HiJackThis. Und zum guten Schluss die Anleitung zur Entfernung von Zlob benutzen.

Hallo!

Vielen Dank für die Hinweise!

Im abgesicherten Modus habe ich keinen Fund mit VundoFix verzeichnen können. Vorsichtshalber habe ich auch die Symantec-Version (FixVundo) durchlaufen lassen. Hierbei gab's auch nix.

Nachdem ich Smitfraudfix laufen lassen habe wollte ich den Onlinescan bei Kaspersky machen, aber ich hatte da so meine Probleme mit, weil man sich als Admin anmelden soll und das geht hier irgendwie net so recht...
Gibt es eine Alternative???

Hier nun der Rapport von Smitfraudfix...

SmitFraudFix v2.308

Scan done at 16:04:50,76, 26.03.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Hier ein neues LogFile von HiJackThis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:14, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Irene\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [strtfx] C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{644889F7-4493-40E2-B6BF-64C666B1ACFC}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{644889F7-4493-40E2-B6BF-64C666B1ACFC}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: cbxwttr - cbxwttr.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7417 bytes

Hab ich noch was vergessen???

Gruß vom Nasenbähr

hi

bitte noch diese einträge mit hijackthis fixen:

O20 - Winlogon Notify: cbxwttr - cbxwttr.dll (file missing)

O12 - Plugin for .wav:C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll

diese hier online scannen lassen:

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') nur zur sicherheit

Sicher das du dem Hilfesuchenden das empfehlen möchtest? :rolleyes:

Dann lies hier mal nach was das ist -> PlugIn vom QuickTimePlayer - Kategorie Audio/Video

Hallo!

Diesen Eintrag habe ich gefixt...

O20 - Winlogon Notify: cbxwttr - cbxwttr.dll (file missing)

diesen Eintrag habe ich überprüfen lassen...

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

und hier das Ergebnis dazu...

Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1
Service load:
0% 100%
File: CTFMON.EXE
Status:
OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 7ce20569925df6789c31799f0c538f29
Packers detected:
-
Bit9 reports: No threat detected (more info)

Hier nun noch einen aktuellen LogFile... bitte mal drüber sehen...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:05, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Irene\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [strtfx] C:\Programme\DeTeWe\OpenDimension\winsuite\strtfx.exe
O4 - HKLM\..\Run: [sndml] C:\Programme\DeTeWe\OpenDimension\winsuite\sndml.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{644889F7-4493-40E2-B6BF-64C666B1ACFC}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{644889F7-4493-40E2-B6BF-64C666B1ACFC}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: GMX Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7391 bytes


Vielen Dank für Eure Mühe!

Gruß vom Nasenbähr

Hallo Sunny!

Vielen Dank! Habe ich ausgeführt. Hier ist der Scanbericht...

(Zusätzlich habe ich einen Onlinescan bei F-Secure gemacht. Weiter unten auch dazu das Ergbnis...)

LG von Nasenbähr

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 551

Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|)
Objekte gescannt: 65039
Scan Dauer: 11 minute(s), 25 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


F-Secure:

Scanning Report
Wednesday, March 26, 2008 21:04:47 - 21:48:06
Computer name: NASE
Scanning type: Scan system for malware, rootkits
Target: C:\
________________________________________
Result: 2 malware found
RiskTool.Win32.Reboot (spyware)
• System
Tracking Cookie (spyware)
• System
________________________________________
Statistics
Scanned:
• Files: 26591
• System: 3738
• Not scanned: 7
Actions:
• Disinfected: 0
• Renamed: 0
• Deleted: 0
• None: 2
• Submitted: 0
Files not scanned:
• C:\PAGEFILE.SYS
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
• C:\WINDOWS\SYSTEM32\CONFIG\SAM
• C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
• C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
• C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
• C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{DE9CFDBA-20E7-47FF-931D-5FC99E50E5AD}.BIN
________________________________________
Options
Scanning engines:
• F-Secure USS: 2.30.0
• F-Secure Hydra: 2.8.8110, 2008-03-26
• F-Secure AVP: 7.0.171, 2008-03-26
• F-Secure Pegasus: 1.20.0, 2008-02-26
• F-Secure Blacklight: 1.0.64
Scanning options:
• Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
• Use Advanced heuristics

Könnt ihr mir bitte auch helfen ?

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]