hallo

ich habe folgendes problem: ich hatte den trojaner vundo.gen auf meinem rechner. mit dieser hilfe habe ich ihn (zumindest glaub ich es) entfernen können: http://www.trojaner-board.de/37583-tr-vundo-gen-logfile-bitte-auswerten.html

es war so, das mein antivir beim hochfahren den trojaner erkannte. jetzt kommen die meldungen nicht mehr, also denke ich, das er weg ist. nachdem ich den trojaner entfernt habe, habe ich nochmal HijackThis durchlaufen lassen und folgende einträge gefunden die ich mir nicht erklären kann:

O2 - BHO: (no name) - {483CC496-D041-4545-8D9E-2D64294F97B2} - C:\WINDOWS\system32\vtuvvsr.dll
O2 - BHO: (no name) - {751CF338-896F-4F26-8655-29483722002F} - C:\WINDOWS\system32\cbayy.dll
O20 - Winlogon Notify: cbayy - C:\WINDOWS\system32\cbayy.dll
O20 - Winlogon Notify: iiiig - C:\WINDOWS\
O20 - Winlogon Notify: vtuvvsr - C:\WINDOWS\SYSTEM32\vtuvvsr.dll

löschen mit HijackThis funktioniert nicht. die kommen immer wieder. wenn ich versuche sie mit HijackThis zu löschen möchte "irgendjemand" wieder einen wert in der registry ändern. das verhindert mein spybot s&d. aber, wahrscheinlich ohne erfolg. wenn ich es lösche, sieht mein bildschirm nach einiger zeit so aus (siehe anhang). und das geht auch nimmer weg, bis ich nicht neu starte.

was kann man hier tun? und ist das ein "eigenes" problem oder hängt das noch mit dem vundo.gen zusammen.

hier das gesamte logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:28:59, on 08.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\testöalkjfsasdf.com
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {483CC496-D041-4545-8D9E-2D64294F97B2} - C:\WINDOWS\system32\vtuvvsr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {751CF338-896F-4F26-8655-29483722002F} - C:\WINDOWS\system32\cbayy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_08\bin\ssv.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Canon ip3000\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WG511WLU] f:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [openvpn-gui] f:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Startup: WinMySQLadmin.lnk = F:\Programme\typo3\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_08\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_08\bin\ssv.dll (file missing)
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - f:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - f:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109630552964
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126116619086
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbayy - C:\WINDOWS\system32\cbayy.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iiiig - C:\WINDOWS\
O20 - Winlogon Notify: vtuvvsr - C:\WINDOWS\SYSTEM32\vtuvvsr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - F:\xamp\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe

vielen dank für eure hilfe
luki_001

Was ist denn das?

C:\Programme\testöalkjfsasdf.com

Hallo

Zitat:

Zitat von FortunaFan

Was ist denn das?

C:\Programme\testöalkjfsasdf.com

ich denke dahinter steckt Hijackthis

Zitat:

mit dieser hilfe habe ich ihn (zumindest glaub ich es) entfernen können

ich fürchte du hast
1. den Vundo noch nicht erfolgreich beseitigt
2. evtl. eine deutlich gefährlichere Malware an Bord

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Lade dir bitte Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).
Ebenso mach bitte einen eScan --> eScananleitung
lies die Anleitung bitte ganz genau und poste das Ergebnis mittels der Auswertungsdatei es steht alles in der Anleitung.

MFG

Außerdem könntest du noch folgendes machen:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Gruß
Sunny

hallo

finally, hab ichs geschafft. sorry für die verspätung. aber ich hatte einige probleme. zunächst danke für die schnelle hilfe. hier die log files:
blacklight:
04/09/07 13:30:09 [Info]: BlackLight Engine 1.0.61 initialized
04/09/07 13:30:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/09/07 13:30:10 [Note]: 7019 4
04/09/07 13:30:10 [Note]: 7005 0
04/09/07 13:30:14 [Note]: 7006 0
04/09/07 13:30:14 [Note]: 7011 752
04/09/07 13:30:14 [Note]: 7026 0
04/09/07 13:30:14 [Note]: 7026 0
04/09/07 13:30:17 [Note]: FSRAW library version 1.7.1021
04/09/07 13:30:39 [Note]: 2000 1012
04/09/07 13:30:39 [Note]: 2000 1012
04/09/07 13:30:42 [Note]: 2000 1012
04/09/07 13:30:47 [Note]: 7007 0
--------------------------------------

und hier die vom escan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 09 13:45:08 2007 => Version 9.1.8 (C:\DOKUME~1\Luki\LOKALE~1\Temp\mexe.com)
Mon Apr 09 13:33:19 2007 => Virus Database Date: 4/5/2007
Mon Apr 09 13:40:58 2007 => Virus Database Date: 4/9/2007
Mon Apr 09 13:44:26 2007 => Virus Database Date: 4/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 09 13:46:26 2007 => System found infected with proventactics Adware (iun6002ev.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 13:48:28 2007 => File C:\WINDOWS\system32\rjjmqnxk.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ar". Action Taken: No Action Taken.
Mon Apr 09 14:01:31 2007 => File C:\WINDOWS\system32\rjjmqnxk.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.ar". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 09 13:46:26 2007 => Offending file found: C:\WINDOWS\iun6002ev.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-------------------------

nochmals sorry für die verspätung. mit blacklight lief alles wie am schnürchen, aber mit escan hatte ich so meine probleme. zuerst, konnte ich nicht vom abgesicherten modus ins internet, trotzdem ich "abgesicherter modus mit netzwerktreibern" ausgewählt hatte. keine ahnung wieso. ich hab eine weile probiert, ohne erfolg. vielleicht kann mir einer von euch tipps geben. naja, egal. ich habs dann mit der zweiten methode probiert (die ohne router, obwohl ich einen router habe). ich hoffe das macht nichts, aber anders habe ich es nicht geschafft.
ok, dann hab ich escan laufen lassen. einmal "herr der ringe - rückkehr des königs" plus eine stunde. und er war immer noch nicht fertig. ich hab ihn dann abgebrochen. der hat sich sicher irgendwo aufgehangen. bei den wichtigen files (dlls und windows ordner) war er aber e schon vorbei. er hat nur mehr meine eigenen dateien auf den anderen partitionen gescannt. da befindet sich (hoffentlich) keine malware.
laut dem escan file, gibt es eine "verletztende" datei, die iun6002ev.exe! heißt das, dort ist die ursache allen übels! kann man die löschen? die beiden dlls werden mir auch vom vundofix angezeigt (siehe anlage). hoffe ihr habt mich noch nicht aufgegeben! ich war heute schon an meiner nervengrenze mit dem blö*** kasten hier .

luki_001
ps: die C:\Programme\testöalkjfsasdf.com ist, wie richtig vermutet, mein HiJackThis. Es wure empfohlen, dass man die hijackthis.exe umbennent und ich wollte mir sichergehen und hab einen random namen vergeben (einmal mit allen fingern soviele tasten drücken wie geht).

Hallo

wirklich was gefunden zu - iun6002ev.exe - hab ich jetzt nicht, ich schlage dir aber vor wechsel noch mal in den abgesicherten Modus ohne Netzwerktreiber und benenne die Datei um.
Sollte nichts negatives geschehen würde ich sie nach einiger Zeit (1 Woche?) löschen.
Hast du mit Vundofix die Dateien löschen lassen?
Gibt es noch Probleme?

MFG

hallo!

ok, werd ich machen. ich hab mir jetzt auch mehrere anti-spyware programme runtergeladen. die werde ich morgen alle im abgesicherten modus laufen lassen. ich habe den spybot auch noch mal durchlaufen lassen und er hat eine sogenannte Smitfraud-C.Toolbar888 gefunden. hat das was damit zu tun.
die letzte nachricht klingt ein wenig, naja, pesimistisch. wie hoch schätzt ihr die chancen ein, dass ich das ding löschen kann? ich bräuchte den laptop schon ziemlich bald, ziemlich dringend. euer wissen in allen ehren, aber neuaufsetzten funktioniert immer und dauert 4-5 stunden, vielleicht. wenn ich hier jetzt tagelang erfolglos herumsuche und dann erst neuaufsetzten muss, mach ich das lieber gleich. bitte nicht falsch verstehen. bin ja auch mehr oder weniger selber schuld das ich den virus drauf hab.

Smitfraud ?!

Dann lade das hier und lass es nach Anleitung laufen..
SmitFraudFix

Ausserdem sollte man nie im abgesicherten Modus ins Netz gehen,
du gehst ja auch nicht nackig auf die Strasse..

Hallo

Zitat:

neuaufsetzten funktioniert immer und dauert 4-5 stunden

dann bist einer der wenigen die ein Backup nutzen ?

Zitat:

wenn ich hier jetzt tagelang erfolglos herumsuche und dann erst neuaufsetzten muss, mach ich das lieber gleich.

es währe der sicherste und sauberste Weg.

Zitat:

bitte nicht falsch verstehen. bin ja auch mehr oder weniger selber schuld das ich den virus drauf hab.

nein nein ist O.K. und es ist deine Entscheidung.

MFG

hallo

also, zuerst möchte ich mich für die letzte meldung entschuldigen. das war blöd von mir. ihr helft mir freiwillig in eurer freizeit und ich schreib so etwas unfaires. entschuldigt bitte.
aber ich habe auch hoffentlich gute nachrichten: ich habe mich ein bisschen gespielt, vorwiegend im abgesicherten modus (und ja ich würde gerne nackig auf die straße gehen, alleine wenn ich an das geld denke das ich mir für schuhe und kleidung sparen würde, aber ich glaube, die gesellschaft ist noch nicht bereit dafür ):

Zitat:

Zitat von theRealMcFly

Ausserdem sollte man nie im abgesicherten Modus ins Netz gehen,
du gehst ja auch nicht nackig auf die Strasse..

spass beiseite. auf jeden fall habe ich im abgesicherten modus nochmal den VundoFix laufen lassen. er hat wieder sehr viele datein als schädlich erkannt und gelöscht etc. bis auf eine die hgdbc.dll. die konnte er nicht löschen. ich hab dann wieder im abgsicherten modus gestartet und hab die brecheneisen methode probiert: einfach HijackThis laufen lassen und alle einträge die mich gestört haben, habe ich im regedit gesucht (bzw. mit meinem RegSeeker programm) und hab sie gelöscht. bis auf die mit dieser komischen dll. dort habe ich den pfad umbenannt. sicherheitshalber habe ich die datei dann auch noch mit dem bartpe gelöscht. dann bin ich nochmal in den abgesicherten modus und hab dort das HijackThis gestartet. dort ist dann schon "file missing" gestanden.
zu guter letzt habe ich normal gebootet und mein letzter aktueller HijackThis logfile sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 23:52:05, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
f:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
D:\install datein\RegSeeker\RegSeeker.exe
C:\Dokumente und Einstellungen\Luki\Desktop\testöalkjfsasdf.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {483CC496-D041-4545-8D9E-2D64294F97B2} - C:\WINDOWS\system32\vtuvvsr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {86BF769C-58BB-40B7-8D7E-C05CD49719BA} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O2 - BHO: (no name) - {BF4953E7-FCC4-47CA-A553-22F4C0A3DDF9} - C:\WINDOWS\system32\hgdbc.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Canon ip3000\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WG511WLU] f:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [openvpn-gui] f:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_10\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [gcasServ] "F:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CloneCDTray] "f:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] f:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: WinMySQLadmin.lnk = F:\Programme\typo3\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - f:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - f:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109630552964
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126116619086
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AE4CEC9D-C836-4579-829B-4C345101B3B9} -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{015E0393-7AC8-498D-A9B0-B7C939EA9311}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cbayy - C:\WINDOWS\
O20 - Winlogon Notify: hgdbc - C:\WINDOWS_oiuop\system32\hgdbc.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iiiig - C:\WINDOWS\
O20 - Winlogon Notify: vtuvvsr - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - f:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - F:\xamp\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\smc.exe

ich habe dann nochmal vundofix laufen lassen und der hat mir keine infizierten datein zeigen können. obwohl die komischen einträge noch da sind.
meine frage: hab ich den vundofix noch? wenn ja, dann muss ich jetzt glaub ich wirklich neu aufsetzten. wenn nein, wie krieg ich die einträge weg?

vielen dank für eure hilfe!!!

luki_001

Hallo

Zitat:

wie krieg ich die einträge weg?

starte dein HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

O2 - BHO: (no name) - {483CC496-D041-4545-8D9E-2D64294F97B2} - C:\WINDOWS\system32\vtuvvsr.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {86BF769C-58BB-40B7-8D7E-C05CD49719BA} - (no file)
O2 - BHO: (no name) - {AC41D38F-B56D-40AD-94E0-B493D130C959} - (no file)
O2 - BHO: (no name) - {BF4953E7-FCC4-47CA-A553-22F4C0A3DDF9} - C:\WINDOWS\system32\hgdbc.dll (file missing)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {AE4CEC9D-C836-4579-829B-4C345101B3B9} -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} -
O20 - Winlogon Notify: cbayy - C:\WINDOWS\
O20 - Winlogon Notify: hgdbc - C:\WINDOWS_oiuop\system32\hgdbc.dll (file missing)
O20 - Winlogon Notify: iiiig - C:\WINDOWS\
O20 - Winlogon Notify: vtuvvsr - C:\WINDOWS\

dann klicke auf - fix checked - starte Windows neu und kontrolliere mit HijackThis anschließend ob alle Einträge gelöscht wurden.

MFG