system32/vinomisu.dll/dapotado.dll/kuvimulo.dll
 

Hallo erst mal!

Mal schauen,ob mir jemand helfen kann!

Habe ein (hoffentlich) kleines Problem auf dem Rechner!

Aufgefallen ist es mir eigentlich erst seit 2 Tagen,da sich seit dem komischerweise Popups einfach so öffnen über den IE,obwohl ich den nicht benutze,seit Ewigkeiten nicht mehr,da ich Mozzila verwende!
Mein Pc lahmt (gut,er ist nicht der neuste,aber er läuft) seit einigen Tagen richtig übel herum,die Festplatte knattert auch ein bißchen lauter als sonst!

Nun habe ich mal Regcleaner gestartet und im Autostart nachgeschaut,weil beim Start sehr komische Sachen in dem Taskmanager stehen unter Prozesse!
War vorher auch nicht!

Darauf hin bin ich auf folgendes gestossen:

system32/vinomisu.dll
system32/dapotado.dll
system32/kuvimulo.dll

Hab im Netz schon ein bißchen rumgeschaut,aber nichts wirklich tolles gefunden,um das Problem in den Griff zu bekommen!
Allerdings öfter mal über den Virus Vundo gestolpert!
Bin ich einer der glücklichen,die infiziert sind?:headbang:

Meine Hijack-File poste ich sofort nach dem Scan!

Bin für jede Hilfe dankbar!

mfg

Hier meine Hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:48, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\M-Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = ht*p://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {d2c65a4b-17de-4dd7-949a-137401a52cde} - C:\WINDOWS\system32\dejufedu.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [GLDStart] C:\Programme\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [sopitafepi] Rundll32.exe "C:\WINDOWS\system32\kuvimulo.dll",s
O4 - HKLM\..\Run: [6ceb8628] rundll32.exe "C:\WINDOWS\system32\vinomisu.dll",b
O4 - HKLM\..\Run: [CPM6fd8b5b4] Rundll32.exe "C:\WINDOWS\system32\dapotado.dll",a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Word2000\Office\OSA9.EXE
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: NVDESK32.DLL C:\WINDOWS\system32\vihokaso.dll c:\windows\system32\dapotado.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dapotado.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dapotado.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6435 bytes

Laut Viruslist handelt es sich um Malware. :pfui:
Lade die 3 Dateien bei Virustotal hoch und lasse sie dort Cheken.
Ergebniss bitte hir posten.
Bitte noch Daten ueber deinen PC angeben!

Ram:
HDD:
OS (Betriebssystem):
Service Pack:
Sicherheitssoftware:

Warte auf deinen HJT Log und den von Virustotal.

Pc-Daten

HHD: Was ist das?
Ram: 256 MB (1.1 GHZ)
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)

Sicherheitssoftware: Keins (ich schäm mich)!



Virustotal:

Komm ich grad nicht rein,kann nicht aufgerufen werden!
Aufgerufen unter Virustotal.com
Ist das richtig oder gibs da ein anderen Link?



Hijack-File:

Hier meine Hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:48, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\M-Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = ht*p://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {d2c65a4b-17de-4dd7-949a-137401a52cde} - C:\WINDOWS\system32\dejufedu.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [GLDStart] C:\Programme\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [sopitafepi] Rundll32.exe "C:\WINDOWS\system32\kuvimulo.dll",s
O4 - HKLM\..\Run: [6ceb8628] rundll32.exe "C:\WINDOWS\system32\vinomisu.dll",b
O4 - HKLM\..\Run: [CPM6fd8b5b4] Rundll32.exe "C:\WINDOWS\system32\dapotado.dll",a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Word2000\Office\OSA9.EXE
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: NVDESK32.DLL C:\WINDOWS\system32\vihokaso.dll c:\windows\system32\dapotado.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dapotado.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dapotado.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6435 bytes

kann die daten bei Virustotal auch nicht hochladen,da ich sie in meinem Windowsordner nicht finde/bzw. sie nicht angezeigt werden!

system32/vinomisu.dll
system32/dapotado.dll
system32/kuvimulo.dll

Was nun?

hat man mich vergessen?:(

Hallo und :hallo:

Vergiss das mit dem Hochladen. Klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Danach geht es weiter.

ciao, andreas

hi andreas!

also,mit ccleaner sollte alles aufgeräumt sein,kahm keine meldung mehr,waren aber viele fehler,hab bestimmt 45min lang fehler behoben!

Scan mit Malwarebytes ist jetzt auch durch,hier das Log:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2167
Windows 5.1.2600 Service Pack 2

22.05.2009 23:14:53
mbam-log-2009-05-22 (23-14-53).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 88441
Laufzeit: 9 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2c65a4b-17de-4dd7-949a-137401a52cde} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d2c65a4b-17de-4dd7-949a-137401a52cde} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sopitafepi (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134080.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134081.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134082.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



Nun jag ich noch mal kurz hijack drüber und liste dir die Progs auf....

Hier die neue hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:30, on 22.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\M-Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {d2c65a4b-17de-4dd7-949a-137401a52cde} - C:\WINDOWS\system32\dejufedu.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [GLDStart] C:\Programme\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [sopitafepi] Rundll32.exe "C:\WINDOWS\system32\kuvimulo.dll",s
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Word2000\Office\OSA9.EXE
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: NVDESK32.DLL C:\WINDOWS\system32\vihokaso.dll c:\windows\system32\dapotado.dll
O23 - Service: Microsoft DDE+ server (79e4bfb050e66daf) - Unknown owner - C:\WINDOWS\system32\.79e4bfb050e66daf\79e4bfb050e66daf.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6894 bytes



und es folgen die Programme.....

Die Progs:

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.0 - Deutsch
AI RoboForm (All Users)
Avira AntiVir Personal - Free Antivirus
Camera Driver
CCleaner (remove only)
Choice Guard
Diashow pro
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Drempels (remove only)
ElectricSheep 2.6.6
GameHouse Super Games AIO®
Gothic 2 Gold
HijackThis 2.0.2
Hotfix für Windows Media Player 11 (KB939683)
ICQ6.5
Java 2 Runtime Environment Standard Edition 1.3.1_18
Java(TM) 6 Update 13
LONDON TAXI
Malwarebytes' Anti-Malware
Medal of Honor Allied Assault
Microsoft .NET Framework 2.0
Microsoft SQL Server Desktop Engine (SONY_MEDIAMGR)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Word 2000 SR-1
Mozilla Firefox (3.0.10)
MSN
MSVCRT
Nero - Burning Rom
Opera 9.64
Philips Digital Audio Player
Photo Viewer
RivaTuner v2.22
SciTech GLDirect
Segoe UI
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows XP (KB923789)
Sony ACID Pro 6.0
Sony Media Manager 2.2
TIPP10 Version 1.0.2
UseNeXT
VC80CRTRedist - 8.0.50727.762
VideoLAN VLC media player 0.8.6b
Winamp
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Player Firefox Plugin
WinRAR

Nun seit ihr wieder dran:)

hoffe das war erst mal erfolgreich!


hab das system noch nicht neu gestartet,wusste nicht ob das richtig wäre!
ich glaub mbam hatte danach gefragt.....!

1.) Deinstalliere:

• UseNext (Virenschleuder)

2.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

na super,für UseNext (Virenschleuder) zahl ich auch noch und das sollte ich löschen oder muss ich das löschen bzw. deinstallieren?


jag jetzt noch mal den ccleaner drüber und dan combofix

was ist den mit daten auf dem stick,mp3 player usw.?Also musik und so...wird die gelöscht?Muss ich die vorher löschen?
Oder kann alles so bleiben wie es ist?

Ich würde UseNext deinstallieren.
Ja stecke alles an was du hast (mp3 player, usb stick, etc)...nein die Musikdatein werden dort auf den Playern oder Sticks NICHT gelöscht.
Stecke alles an und führe Combofix durch. Mache nur tasteneingaben per Aufforderung vom Combofix.
Wenn Combofix am Scan ist, dann mache nichts an der Maus oder Tastatur. Lass da Combofix ganz in Ruhe :)

Dann das Log was Combofix erstellt reinsetzen, wenn die Logdatei erscheint und die Taskleiste unten, dann ist Combofix fertig.

Kopieren und Einfügen ;)

Ok,Combofix ist durch,hier das Ergebnis!

Also sind die 90 Euro im Jahr für Usenext fürn Mülleimer?
Wie kann ein Anbieter,der so viel Geld nimmt,so unseriös sein?:pfui::snyper::confused::pukeface:


Combofix-Log:

ComboFix 09-05-22.05 - Master 23.05.2009 0:23.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.255.133 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Master\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\abimurog.ini
c:\windows\system32\ekuzuloy.ini
c:\windows\system32\hufowebi.dll
c:\windows\system32\oguwator.ini
c:\windows\system32\sysinfo.exe
c:\windows\system32\takihiru.dll
c:\windows\system32\urihikat.ini
c:\windows\system32\usimoniv.ini

.
((((((((((((((((((((((( Dateien erstellt von 2009-04-22 bis 2009-05-22 ))))))))))))))))))))))))))))))
.

2009-05-22 22:27 . 2009-05-22 22:27 -------- d-----w c:\windows\system32\xircom
2009-05-22 22:27 . 2009-05-22 22:27 -------- d-----w c:\programme\microsoft frontpage
2009-05-22 20:59 . 2009-05-22 20:59 -------- d-----w c:\dokumente und einstellungen\Master\Anwendungsdaten\Malwarebytes
2009-05-22 20:58 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-22 20:58 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-22 20:58 . 2009-05-22 20:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-22 18:43 . 2009-03-30 08:33 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-22 18:43 . 2009-03-24 14:08 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-22 18:43 . 2009-02-13 10:29 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-22 18:43 . 2009-02-13 10:17 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-22 18:43 . 2009-05-22 18:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-17 10:28 . 2001-08-17 12:02 8576 ----a-w c:\windows\system32\drivers\hidgame.sys
2009-04-22 22:48 . 2009-04-22 22:48 -------- d-----w c:\dokumente und einstellungen\Master\.surfbar
2009-04-22 22:47 . 2009-04-22 22:47 -------- d-----w c:\windows\Sun
2009-04-22 22:44 . 2009-04-22 22:44 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-22 22:43 . 2009-04-22 22:43 -------- d-----w c:\programme\Java
2009-04-22 22:39 . 2009-04-22 22:39 152576 ----a-w c:\dokumente und einstellungen\Master\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 21:38 . 2008-10-01 03:18 1632 ----a-w c:\windows\system32\d3d8caps.dat
2009-05-20 11:59 . 2008-10-01 01:15 1744 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-09 15:03 . 2009-04-09 14:49 120 ----a-w C:\drmHeader.bin
2009-03-15 04:01 . 2008-01-08 16:37 360832 ----a-w c:\windows\system32\drivers\TCPIP.SYS
2009-03-13 22:02 . 2008-10-01 01:13 17112 ----a-w c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-13 21:48 . 2009-03-13 21:48 827368 ----a-w c:\dokumente und einstellungen\Master\Anwendungsdaten\MSNInstaller\msnauins.exe
.

------- Sigcheck -------

[-] 2007-10-09 11:20 1548288 6D60483EBCF29203C9B3B453471D3706 c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GLDStart"="c:\programme\GLDirect\gldirect.exe" [2004-07-20 241664]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"RoboForm"="c:\programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2009-01-06 160592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2007-12-11 124928]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - d:\programme\Word2000\Office\OSA9.EXE [2000-1-21 65588]
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\hufowebi.dll,c:\windows\system32\vihokaso.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79e4bfb050e66daf]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Spiele\\MOHAA\\MOHAA.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Programme\\M-Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:192.168.220.100/255.255.255.255:Enabled:Sharezza
"6346:UDP"= 6346:UDP:192.168.220.100/255.255.255.255:Enabled:Sharezza

R0 pmfilt;pmfilt;c:\windows\system32\drivers\pmfilt.sys [15.01.2009 01:13 10112]
R0 pmhelp;pmhelp;c:\windows\system32\drivers\pmhelp.sys [15.01.2009 01:13 50464]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 20:43 108289]
S2 79e4bfb050e66daf;Microsoft DDE+ server;c:\windows\system32\.79e4bfb050e66daf\79e4bfb050e66daf.exe --> c:\windows\system32\.79e4bfb050e66daf\79e4bfb050e66daf.exe [?]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CPM6fd8b5b4 - c:\windows\system32\hufowebi.dll
HKLM-Run-6ceb8628 - c:\windows\system32\takihiru.dll
HKLM-Run-sopitafepi - c:\windows\system32\kuvimulo.dll
SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
IE: RF - Formular ausfüllen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: RF - Formular speichern - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: RF - Menü anpassen - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: RF - RoboForm-Leiste ein/aus - file://c:\programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
FF - ProfilePath - c:\dokumente und einstellungen\Master\Anwendungsdaten\Mozilla\Firefox\Profiles\jso3djcv.default\
FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\M-Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programme\opera\program\plugins\npdsplay.dll
FF - plugin: d:\programme\opera\program\plugins\npwmsdrm.dll
FF - plugin: d:\programme\Reader 8.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-23 00:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\JAVA\JRE6\BIN\JQS.EXE
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-22 0:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-22 22:31

Vor Suchlauf: 1.264.414.720 Bytes frei
Nach Suchlauf: 1.444.622.336 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

140

Tja, gibt viele unseriöse Anbieter, die Geld machen wollen.

Das Combofix Log wird sich john.doe genauer anschauen, wichtig ist das er erstmal einen genauen Überblick hat :)

*raushüpfe*

hab avi noch mal scannen lassen.....


hier auch der neue log davon!
nun geh ich aber auch ins bett,für heute reichts!




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 23. Mai 2009 00:50

Es wird nach 1414672 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Master
Computername : BIE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:26
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:28
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 18:59:50
ANTIVIR3.VDF : 7.1.4.5 34304 Bytes 22.05.2009 18:59:50
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 22.05.2009 19:00:00
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 22.05.2009 19:00:00
AESCN.DLL : 8.1.2.3 127347 Bytes 22.05.2009 18:59:58
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:42
AEPACK.DLL : 8.1.3.16 397686 Bytes 22.05.2009 18:59:58
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:58
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 22.05.2009 18:59:58
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:58
AEGEN.DLL : 8.1.1.44 348532 Bytes 22.05.2009 18:59:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 22.05.2009 18:59:52
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 23. Mai 2009 00:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLMANGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '22' Prozesse mit '22' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINXP\system32\opengl32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134078.dll
[FUND] Ist das Trojanische Pferd TR/Agent2.esw
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134079.DLL
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134083.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134084.dll
[FUND] Ist das Trojanische Pferd TR/Iceroe.128000A
C:\Qoobox\Quarantine\C\WINDOWS\system32\hufowebi.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\takihiru.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134078.dll
[FUND] Ist das Trojanische Pferd TR/Agent2.esw
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134079.DLL
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134083.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{5F883B1F-9025-45A7-B964-EC7227638975}\RP126\A0134084.dll
[FUND] Ist das Trojanische Pferd TR/Iceroe.128000A
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\hufowebi.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\takihiru.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 23. Mai 2009 01:03
Benötigte Zeit: 13:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1685 Verzeichnisse wurden überprüft
81855 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
81845 Dateien ohne Befall
1013 Archive wurden durchsucht
10 Warnungen
2 Hinweise

Sorry moechte mich nicht einmischen, wolte blos sagen, das du das Service Pack 3 installieren solltest.
Auserdem hast du vergessen die Funde von Avira zu loeschen/Quarantaene.
Wollte blos drauf hinweisen.:daumenhoc

Das sind Funde die in der Quarantäne von Combofix liegen.


Systemwiederherstellung deaktivieren:
1. auf den Button "Start" gehen.
2. Systemsteuerung anwählen.
3. Auf "System" gehen.
4. Reiter "Systemwiederherstellung" anwählen.
5. Den Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen.
6. Reboot des PCs.
7. Haken rausnehmen.

Moin

Wie kann ein Anbieter seriös sein, der so viel bietet für so wenig Geld :rolleyes:?
Denk mal drüber nach

MFG

so,hab die systemwiederherstellung abgestellt und neu gestartet,allerdings hab ich den Pc gestern schon ausgemacht gehabt!
Sollte das nun ein Problem gewesen sein und ich hätte es sofort gestern noch machen müssen?
Weil der ist ja heute morgen schon wieder mit der letzten Sicherung wieder hochgefahren,und das war die ,die er bei dem scan mit Combofix erstellt hat?

Oder lieg ich jetzt etwas daneben?

Mein Avira meldet sich heut nicht mehr!:huepp:
Gestern gab er mir rund um die Uhr eine Warnung,wegen dem Vundo....ging soweit das ich Avira abgeschaltet hab,weil jede sekunde ein Fenster aufging wegen dem Vundo-Mistding!

Aber ich vermute,das er noch irgentwo schlummert im system und nur drauf wartet wieder aktiviert zu werden,oder?

Wenn Avira nichts mehr meldet ist doch gut, ne das war schon richtig so wie ich dir das sagte.
Treten noch weitere Probleme auf?

Das ist nen Problemchen, wenn man Bereinigt, man weiß nie ob doch noch tief im inneren des Systems doch noch etwas da ist.
Sicher und schneller ist neuaufsetzen.
Aber Vundo dürfte erledigt sein.

Den Rest wird sich john.doe anschauen :)

Ich glaub nicht,bei dem scan jetzt grade hat er noch 2 funde gehabt!

Wie bekomm ich die noch weg?

ja neu aufsetzen wollte ich nicht,wobei wär auch nicht das problem,da ich meine Platte gesplittet hab und windoof nur auf C: liegt....der rest ist alles auf D:,hatte diesen Vundo schon mal vor ein paar monaten,auch durch DL´s bekommen...da hatte ich die Platte noch nicht gesplittet und da waren alle Daten futsch!
Ein Freund hatte mir den Tip gegeben mit dem Splitten,so müsste ich jetzt nur C: Platt machen und neu aufsetzen,da ja da nur das Betriebssystem liegt!?!


@svchoste
Du bist mir unseriös.....hast mir schon gestern ein falschen tip gegeben mit dem hochladen der Dateien bei Virustotal.....warum sollte ich heute auf dich hören?
Auch wenn das SP3 besser ist und auf dem neusten Stand ist,ich will es im moment nicht haben...und manche leutz können auch nichts updaten von windoof...weils halt nicht geht,wills aber nicht hier weiter erleutern...wär nicht legall!

Ich sags mal ganz höfflich....wenn man keine Ahnung hat,einfach mal die Fresse halten!


Und hier die neue Log von Avira:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 23. Mai 2009 11:53

Es wird nach 1414672 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BIE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.04.2009 07:57:26
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:28
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 18:59:50
ANTIVIR3.VDF : 7.1.4.5 34304 Bytes 22.05.2009 18:59:50
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 22.05.2009 19:00:00
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 22.05.2009 19:00:00
AESCN.DLL : 8.1.2.3 127347 Bytes 22.05.2009 18:59:58
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:42
AEPACK.DLL : 8.1.3.16 397686 Bytes 22.05.2009 18:59:58
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:58
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 22.05.2009 18:59:58
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:58
AEGEN.DLL : 8.1.1.44 348532 Bytes 22.05.2009 18:59:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 22.05.2009 18:59:52
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:56
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:18
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 23. Mai 2009 11:53

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SQLMANGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINXP\system32\opengl32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Qoobox\Quarantine\C\WINDOWS\system32\hufowebi.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
C:\Qoobox\Quarantine\C\WINDOWS\system32\takihiru.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\hufowebi.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Qoobox\Quarantine\C\WINDOWS\system32\takihiru.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 23. Mai 2009 12:06
Benötigte Zeit: 12:50 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1651 Verzeichnisse wurden überprüft
80385 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
80379 Dateien ohne Befall
1016 Archive wurden durchsucht
6 Warnungen
2 Hinweise

Wie eben schon gesagt die Funde findet er in der Combofix - Quarantäne.
Nichts gefährliches erstmal.

Sorry wenn ich noch mal nachhacke,aber ich wills schon genauer wissen:)

das heist,das mein System sauber ist und das alles was in Combofix - Quarantäne liegt,nicht mehr aktiv werden kann,egal was ich jetzt am rechner machen will?
Oder sollte ich jetzt etwas nicht machen,weil ich angst haben muss das Vundo sich wieder aktivieren könnte,weil der noch inaktiv irgentwo auf der Platte im system hockt und nur drauf wartet das ich wieder ein fehler mache?

Ich will ja nicht das ganze wiederholen,was mir gestern einen ganzen tag geraubt hat.....
neu aufsetzen ist da wirklich ein bißchen schneller,aber ich will ja auch was dazu lernen,plattmachen und aufsetzen kann jeder!
So erfährt man aber nie,was man falsch gemacht hat und wie man es demnächst besser machen kann.....!

Mal ganz davon abgesehen,das man ja auch vieles im system wieder grade biegen kann,wenn man weis wie!:huepp:
Neu machen ist zwar 100%ig und schneller,aber reparieren kann nicht jeder...ich bin nicht auf den kopf gefallen und will ja was dazu lernen!
Wer lernt stirbt nicht an blödheit!:huepp:

@john.doe


was sagst du den nun zu den ganzen Scan-Ergebnissen?
Stell doch mal bitte eine Prognose,damit wir den Rest auch noch beseitigen können!

Alles nach deinen Wünschen erledigt?

Und erst mal ein dicken Dank an dich und Angel21 für eure gute und schnelle Hilfe...bis jetzt klapps ja noch alles Wunderbar und das gröbste haben wir ja schon geschafft,so wie ich das sehe!

Bitte keine Ursache :)

Ehrliche Meinung: Schön blöd. :)

UseNext ist nur ein Aufsatz zum Zugang zum UseNet und das ist schon seit Ewigkeiten kostenlos. Was ist Usenet denn eigentlich: Usenet ? Wikipedia

Das ist moderne Abzocke. Es gibt viele Anbieter, aber von jemandem, der so agressiv Werbung macht, würde ich in jedem Fall die Pfoten lassen.

Was wird denn im UseNet heute (ich spreche nicht von den Ursprüngen) verteilt, vor allem in alt.binaries:

• Geklaute Videos (aus unserer Sicht kein Problem, aber schau mal da: abzockwahn - Google-Suche)
• Geklaute Musik (aus unserer Sicht kein Problem, aber schau mal da: abzockwahn - Google-Suche)
• Geklaute Programme: Tja, so schön es auch sein mag, wenn man die z.B. die Adobe Master Collection downloaden kann (die es übrigens auch als Trial beim Hersteller gibt)

Die Frage ist doch:

• Brauche ich das überhaupt?
• Und wenn ja, warum kaufe ich mir das nicht?
• Bin ich mir darüber bewusst, dass ich Diebstahl begehe?
• Wozu ist eigentlich dieses Patchprogramm oder dieser Keygen gut? Achja, damit lässt sich die Trial- zur Vollversion machen. :D Oder doch nicht? Hupps, warum verhält sich mein Rechner plötzlich so seltsam? Ist doch wohl voll mies. :(

Muss ich erstmal beim Trojaner-Board posten, um mich über Probleme zu beschweren und meine Schädlingsprobleme beheben zu lassen.

Tja, sowas kommt von sowas und deshalb werde ich auch weiterhin jeden, den ich dabei erwische, auflaufen lassen. :)
Nein, UseNext lebt recht gut davon und kann weiterhin überall Werbung schalten, dank dir.
Tja, dazu hat sich schon Nochdigger geäussert. :)

@svchoste
Dann tue es auch nicht.

@dmeder
Tja, was nützt das beste "Sicherheitsprogramm", wenn der User es abstellt. :D
Letzter Link in meiner Signatur, Abschnitt 2.4.
Mit deiner Vermutung liegst du richtig. :daumenhoc
Jetzt sind wir einer Meinung. :)
Und hier wieder nicht.
Hoppla, sollten wir ausser den geklauten Programmen auch noch ein geklautes Windows haben? ;)
Hoppla, habe ich irgendwo angeordnet Avira laufen zu lassen? :confused:
Äh, ja, fällt mir jetzt noch etwas dazu ein? :confused:

Doch. :daumenhoc Let me google that for you

Jetzt gibt es nur noch einen Rat: http://www.trojaner-board.de/51262-a...sicherung.html

Statt 90 Euro/Jahr in die Virenschleuder zu investieren, solltest du es lieber zum örtlichen Fachhändler bringen.

Du bist entlassen und ich bin raus,
Andreas

@john.doe

ähhhhhhmmmmm:confused:


ok,erst mal verdauen!

Also,was kann ich dazu wenn usenext damit wirbt,legall zu Downloaden?:pfui::headbang:
Ich weis jetzt auf jeden Fall bescheid und werde so einem Anbieter demnächst die Rote Karte zeigen!
Wollte damit ja nur dem Illegalem entfliehen,aber wenn ich jetzt drüber nachdenke,ist wohl auch sowas Illegal,oder?
Wie gesagt,ich lerne nie aus!

Mit den Originalen hast du ja recht,vielleicht ist es doch besser sich alles Legall zu kaufen,da wohl doch einiges so besser funktioniert!:)

Das Sicherheitsprog hab ich ja erst drauf gemacht,nachdem ich es bemerkt hatte das da was nicht stimmt!Auch schön blöd,ich weis!
Da er mir dann die ganze zeit angezeigt hat,das ich schon Vundo drauf hab,hab ich es aus gemacht,weil immer alle paar sekunden eine neue Warnung auf ging....konnte so ja nicht mehr arbeiten!

Aber was meinst du hiermit:
S2 79e4bfb050e66daf;Microsoft DDE+ server;c:\windows\system32\.79e4bfb050e66daf\79e4bfb050e66daf.exe --> c:\windows\system32\.79e4bfb050e66daf\79e4bfb050e66daf.exe [?]

Kannst du mir das bitte noch erklären?


Nein du hast nicht gesagt das ich Avira starten soll!
Also hab ich dummkopf es wieder verschlimmert oder wie?:headbang:
Am neu aufsetzen komm ich wohl nun nicht mehr dran vorbei,oder?

Nein
Neu aufsetzten ist angesagt

Gründe dafür wurden dir schon erläutert

joa ok,aber trotzdem danke auch an john.doe und den rest hier,die geholfen haben.....

trotzdem würd ich gerne noch erfahren,warum das schlecht war,das ich Avira noch mal Scannen hab lassen,nachdem ich Combofix durchlaufen hab lassen?


hab ich dadurch wieder was aktiviert?
was war daran falsch?


Bitte erklärt mir das noch jemand,bevor ich neu aufsetze!


mfg

John doe ging es Grundlegend darum,das die Anweisungen Schritt für Schritt ausgeführt werden und nichts auf eigene Faust durchgeführt wird

ComboFix wird meist als Batch-Virus erkannt und wird dadurch von nicht erwünschten Scanns gelöscht--> kann sein,muss nicht

Sonst noch Fragen?