TR/Vundo.Gen

Caiman · 19.12.2007, 16:27

Hallo

AntiVir meldet mir den Trojaner TR/Vundo.Gen in der Datei Windows/system32/ddcyv.dll
Ich bin mit VundoFix drüber gegangen. Es hat ihn gefunden und auch angeblich gelöscht, aber die Meldung von AntiVir kommt weiterhin alle paar Sekunden.
Ich habe HJT drüber laufen lassen, weiß aber nicht wie ich nun weiterverfahren muss. Kann mir bitte jemand helfen?
Danke im Vorraus...

Hier ist das Protokoll:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:39, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\BitComet\BitComet.exe
C:\Dokumente und Einstellungen\T*\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.d ll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B546A2B5-96AD-4428-9E6A-A540C52DE315}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5054 bytes

11Boy11 · 19.12.2007, 16:44

Hi!

Zitat:

Meldung von AntiVir kommt weiterhin alle paar Sekunden

Immer in Windows/system32/ddcyv.dll ?

Lasse folgende Programme durchlaufen, und poste anschließend die Berichte.

• Combofix

• eScan

Caiman · 19.12.2007, 17:18

Hier das ComboFix-Protokoll.... EScan folgt sofort. Und ja, es ist immer die selbe Datei.

ComboFix 07-12-19.2 - T* 2007-12-19 17:08:53.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.510 [GMT 1:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-19 bis 2007-12-19 ))))))))))))))))))))))))))))))
.

2007-12-19 16:20 . 2007-12-19 16:20 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-12-18 19:01 . 2007-12-18 19:01 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-12-17 17:57 . 2007-12-17 17:57 <DIR> d-------- C:\Programme\XoftSpySE
2007-12-17 17:17 . 2007-12-17 17:17 <DIR> d-------- C:\VundoFix Backups
2007-12-16 19:00 . 2007-12-19 17:11 8,475 --ahs---- C:\WINDOWS\system32\vycdd.ini2
2007-12-16 19:00 . 2007-12-19 17:12 8,475 --ahs---- C:\WINDOWS\system32\vycdd.ini
2007-12-16 15:58 . 2007-12-16 15:58 314,624 --------- C:\WINDOWS\system32\ddcyv.dll
2007-12-15 19:28 . 2007-12-15 19:28 24,336 --a------ C:\WINDOWS\system32\vtuuvus.dll
2007-12-15 19:28 . 2007-12-15 19:28 24,336 --a------ C:\WINDOWS\system32\ddccaww.dll
2007-12-11 21:29 . 2007-12-11 21:29 <DIR> d-------- C:\Programme\MIKSOFT
2007-12-11 21:28 . 2007-12-11 21:28 <DIR> d-------- C:\Programme\Visual Basic 6.0 Runtime&Steuerelemente
2007-12-11 21:28 . 2007-12-11 21:28 290,816 --------- C:\WINDOWS\Setup1.exe
2007-12-11 21:28 . 2007-12-11 21:28 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2007-12-10 21:30 . 2007-12-10 21:30 23,728 --a------ C:\WINDOWS\system32\efcawxu.dll
2007-12-10 18:19 . 2007-12-10 18:19 <DIR> d-------- C:\Programme\Overland
2007-12-10 18:16 . 2003-09-24 09:44 1,230,336 -ra------ C:\WINDOWS\system32\MSXML4.dll
2007-12-10 18:16 . 2003-09-24 09:43 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2007-12-10 18:16 . 2003-09-24 09:43 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2007-12-10 18:16 . 2003-09-24 09:43 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2007-12-10 18:16 . 2003-09-24 09:44 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2007-12-10 18:16 . 2003-09-24 09:44 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2007-12-05 23:51 . 2007-12-05 23:51 <DIR> d-------- C:\Programme\HP
2007-12-05 23:51 . 2007-12-05 23:51 <DIR> d-------- C:\Programme\Hewlett-Packard
2007-12-05 23:51 . 2007-12-05 23:52 196,560 --a------ C:\WINDOWS\hpdj3500.his
2007-12-05 23:51 . 2007-12-05 23:52 10,598 --a------ C:\WINDOWS\hpdj3500.ini
2007-12-02 03:40 . 2007-12-16 12:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 03:40 . 2007-12-02 03:40 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-25 10:41 . 2007-11-25 10:41 <DIR> d-------- C:\Programme\Paint.NET
2007-11-24 08:40 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-24 08:40 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2007-11-20 17:51 . 2007-11-21 20:41 36,100 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2007-11-20 17:51 . 2007-11-21 20:40 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.bmp
2007-11-20 17:51 . 2007-11-20 17:51 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.bmp
2007-11-20 17:51 . 2007-11-20 17:51 8,453 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.dat
2007-11-20 17:24 . 2007-11-20 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\T*\Anwendungsdaten\dBpoweramp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-18 17:42 29,392 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-21 19:41 131,072 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-11-18 17:13 --------- d-----w C:\Dokumente und Einstellungen\T*\Anwendungsdaten\Microsoft Web Folders
2007-11-15 17:48 --------- d-----w C:\Dokumente und Einstellungen\T*\Anwendungsdaten\Apple Computer
2007-11-11 09:46 --------- d-----w C:\Programme\Apple Software Update
2007-11-11 09:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-11 09:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-11 09:44 --------- d-----w C:\Programme\QuickTime
2007-11-10 15:03 --------- d-----w C:\Programme\Google
2007-11-10 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-11-10 14:27 --------- d-----w C:\Dokumente und Einstellungen\T*\Anwendungsdaten\ICQ
2007-11-10 14:26 --------- d-----w C:\Programme\ICQ6
2007-11-10 14:26 --------- d-----w C:\Dokumente und Einstellungen\T*\Anwendungsdaten\InstallShield
2007-11-09 16:21 --------- d-----w C:\Programme\Avira
2007-11-09 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-09 14:59 --------- d-----w C:\Programme\BitComet
2007-11-08 18:12 --------- d-----w C:\Dokumente und Einstellungen\T*\Anwendungsdaten\MSN6
2007-11-08 18:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-11-08 16:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2007-11-08 16:45 --------- d-----w C:\Programme\Alice
2007-10-28 12:15 --------- d-----w C:\Programme\Guitar Pro 4
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AC297C6-2D46-4728-AB71-BEB19B40E4B7}]
2007-12-16 15:58 314624 --------- C:\WINDOWS\system32\ddcyv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-10 16:03]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-07-20 21:07 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-26 00:48]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-09 17:22]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-11 10:44]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-07 21:56]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ddcyv.dll

*Newly Created Service* - PARPORT
.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:53:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-17 16:58:10 C:\WINDOWS\Tasks\XoftSpySE.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
"2007-12-19 16:11:40 C:\WINDOWS\Tasks\XoftSpySE 2.job"
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-19 17:12:00
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-19 17:14:04 - machine was rebooted
.
2007-12-18 19:39:55 --- E O F ---

BataAlexander · 19.12.2007, 17:56

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

QUOTE
File::
C:\WINDOWS\system32\vycdd.ini2
C:\WINDOWS\system32\vycdd.ini
C:\WINDOWS\system32\ddcyv.dll
C:\WINDOWS\system32\vtuuvus.dll
C:\WINDOWS\system32\ddccaww.dll
C:\WINDOWS\system32\efcawxu.dll

Registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AC297C6-2D46-4728-AB71-BEB19B40E4B7}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0

3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Ein neues HijackThis log.

Und: Deinstalliere XoftSpy, dieses Programm verschlimmbestert Deinen Rechner nur.

Caiman · 19.12.2007, 18:58

OK... mach ich gleich.... Hier noch der eScan

~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\ddcyv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bxc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ddcyv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bxc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ddcyv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bxc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ddcyv.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.bxc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in G\Shell\AutoRun\command: G:\AutoRunMorrowind.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 81955
Gefundene Viren: 9
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 60
Dauer des Scans bisher: 00:45:22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:56:05,57
Batchende: 18:56:12,26

Caiman · 19.12.2007, 19:10

hier das neue ComboFix-Log

ComboFix 07-12-19.2 - Thorsten 2007-12-19 19:01:26.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.514 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thorsten\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Thorsten\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\ddccaww.dll
C:\WINDOWS\system32\ddcyv.dll
C:\WINDOWS\system32\efcawxu.dll
C:\WINDOWS\system32\vtuuvus.dll
C:\WINDOWS\system32\vycdd.ini
C:\WINDOWS\system32\vycdd.ini2
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\ddccaww.dll
C:\WINDOWS\system32\ddcyv.dll
C:\WINDOWS\system32\efcawxu.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vtuuvus.dll
C:\WINDOWS\system32\vycdd.ini
C:\WINDOWS\system32\vycdd.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-19 bis 2007-12-19 ))))))))))))))))))))))))))))))
.

2007-12-19 19:02 . 2007-12-19 19:02 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-19 19:00 . 2007-12-19 19:00 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-12-19 18:49 . 2007-12-19 18:49 <DIR> d-------- C:\bases_x
2007-12-19 18:46 . 2007-12-19 18:46 0 --a------ C:\23990098.$$$
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-12-19 17:20 . 2007-12-19 17:20 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-12-19 17:19 . 2004-08-04 00:58 153,600 --a------ C:\WINDOWS\R.COM
2007-12-19 17:19 . 2004-08-04 00:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-12-19 17:19 . 2007-12-19 18:00 50 --a------ C:\WINDOWS\Lic.xxx
2007-12-18 19:01 . 2007-12-18 19:01 <DIR> d-------- C:\WINDOWS\$hf_mig$
2007-12-17 17:17 . 2007-12-17 17:17 <DIR> d-------- C:\VundoFix Backups
2007-12-11 21:29 . 2007-12-11 21:29 <DIR> d-------- C:\Programme\MIKSOFT
2007-12-11 21:28 . 2007-12-11 21:28 <DIR> d-------- C:\Programme\Visual Basic 6.0 Runtime&Steuerelemente
2007-12-11 21:28 . 2007-12-11 21:28 290,816 --------- C:\WINDOWS\Setup1.exe
2007-12-11 21:28 . 2007-12-11 21:28 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2007-12-10 18:19 . 2007-12-10 18:19 <DIR> d-------- C:\Programme\Overland
2007-12-10 18:16 . 2003-09-24 09:43 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2007-12-10 18:16 . 2003-09-24 09:43 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2007-12-10 18:16 . 2003-09-24 09:43 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2007-12-10 18:16 . 2003-09-24 09:44 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2007-12-10 18:16 . 2003-09-24 09:44 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2007-12-05 23:51 . 2007-12-05 23:51 <DIR> d-------- C:\Programme\HP
2007-12-05 23:51 . 2007-12-05 23:51 <DIR> d-------- C:\Programme\Hewlett-Packard
2007-12-05 23:51 . 2007-12-05 23:52 196,560 --a------ C:\WINDOWS\hpdj3500.his
2007-12-05 23:51 . 2007-12-05 23:52 10,598 --a------ C:\WINDOWS\hpdj3500.ini
2007-12-02 03:40 . 2007-12-16 12:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 03:40 . 2007-12-02 03:40 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-25 10:41 . 2007-11-25 10:41 <DIR> d-------- C:\Programme\Paint.NET
2007-11-24 08:40 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-24 08:40 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2007-11-20 17:51 . 2007-11-21 20:41 36,100 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2007-11-20 17:51 . 2007-11-21 20:40 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.bmp
2007-11-20 17:51 . 2007-11-20 17:51 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.bmp
2007-11-20 17:51 . 2007-11-20 17:51 8,453 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DSP Effects.dat
2007-11-20 17:24 . 2007-11-20 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\dBpoweramp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-21 19:41 131,072 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-11-18 17:13 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Microsoft Web Folders
2007-11-15 17:48 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Apple Computer
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-11 09:46 --------- d-----w C:\Programme\Apple Software Update
2007-11-11 09:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-11 09:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-11-11 09:44 --------- d-----w C:\Programme\QuickTime
2007-11-10 15:03 --------- d-----w C:\Programme\Google
2007-11-10 15:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-11-10 14:27 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\ICQ
2007-11-10 14:26 --------- d-----w C:\Programme\ICQ6
2007-11-10 14:26 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\InstallShield
2007-11-09 16:21 --------- d-----w C:\Programme\Avira
2007-11-09 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-09 14:59 --------- d-----w C:\Programme\BitComet
2007-11-08 18:12 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\MSN6
2007-11-08 18:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2007-11-08 16:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2007-11-08 16:45 --------- d-----w C:\Programme\Alice
2007-10-30 10:15 3,079,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-28 12:15 --------- d-----w C:\Programme\Guitar Pro 4
2007-10-11 06:12 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll
2007-10-11 06:12 665,088 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-11 06:12 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-11 06:12 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-11 06:12 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-11 06:12 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-10-11 06:12 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-11 06:12 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-10-11 06:12 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-10-11 06:12 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-10-11 06:12 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-11 06:12 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-11 06:12 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-10-11 06:12 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-11 06:12 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-10-11 06:12 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll
2007-10-11 06:12 1,023,488 ------w C:\WINDOWS\system32\dllcache\browseui.dll
2007-10-10 11:16 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
.

((((((((((((((((((((((((((((( snapshot@2007-12-19_17.12.11.81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-03-17 00:33:10 262,784 ------w C:\WINDOWS\Driver Cache\i386\http.sys
+ 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys
+ 2005-03-02 18:06:18 2,138,112 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2005-03-02 18:06:16 2,059,136 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2005-03-02 18:06:26 2,017,792 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2005-03-02 18:06:32 2,181,632 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2007-12-19 18:02:26 32,768 ----a-r C:\WINDOWS\Installer\{C04E32E0-0416-434D-AFB9-6969D703A9EF}\icon.exe
+ 2004-08-03 22:04:52 134,912 ----a-w C:\WINDOWS\LastGood.Tmp\system32\DRIVERS\ipnat.sys
- 2004-08-03 23:57:16 56,832 ----a-w C:\WINDOWS\system32\authz.dll
+ 2005-03-02 18:09:46 56,832 ----a-w C:\WINDOWS\system32\authz.dll
- 2004-08-03 23:57:16 1,016,832 ----a-w C:\WINDOWS\system32\browseui.dll
+ 2007-10-11 06:12:42 1,023,488 ----a-w C:\WINDOWS\system32\browseui.dll
- 2004-08-03 23:57:16 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll
+ 2007-10-11 06:12:42 152,064 ----a-w C:\WINDOWS\system32\cdfview.dll
- 2004-08-03 23:57:18 1,055,744 ----a-w C:\WINDOWS\system32\danim.dll
+ 2007-10-11 06:12:42 1,056,256 ----a-w C:\WINDOWS\system32\danim.dll
+ 2006-06-26 17:40:34 148,480 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2001-08-23 15:00:00 79,360 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll
+ 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll
+ 2007-04-16 15:53:06 1,058,304 ------w C:\WINDOWS\system32\dllcache\kernel32.dll
+ 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\system32\dllcache\mrxsmb.sys
+ 2007-02-09 11:10:36 574,464 ------w C:\WINDOWS\system32\dllcache\ntfs.sys
- 2001-08-23 16:00:00 68,608 ----a-w C:\WINDOWS\system32\dllcache\olecli32.dll
+ 2005-04-28 19:31:44 74,752 ----a-w C:\WINDOWS\system32\dllcache\olecli32.dll
- 2001-08-23 16:00:00 34,304 ----a-w C:\WINDOWS\system32\dllcache\olecnv32.dll
+ 2005-04-28 19:31:44 37,888 ----a-w C:\WINDOWS\system32\dllcache\olecnv32.dll
+ 2006-06-26 17:40:34 8,192 ------w C:\WINDOWS\system32\dllcache\rasadhlp.dll
+ 2006-05-05 09:47:58 174,592 ------w C:\WINDOWS\system32\dllcache\rdbss.sys
- 2004-08-03 23:57:18 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2006-06-26 17:40:34 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2004-08-03 22:00:14 263,040 ------w C:\WINDOWS\system32\drivers\http.sys
+ 2006-03-17 00:33:10 262,784 ------w C:\WINDOWS\system32\drivers\http.sys
- 2004-08-03 22:04:52 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
+ 2004-09-29 22:28:38 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
- 2004-08-03 22:15:18 451,456 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
+ 2006-05-05 09:41:46 453,120 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
- 2004-08-03 22:15:10 574,592 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
+ 2007-02-09 11:10:36 574,464 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
- 2004-08-03 22:20:08 176,512 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
+ 2006-05-05 09:47:58 174,592 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
- 2004-08-03 23:57:18 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2007-10-11 06:12:42 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2004-08-03 23:57:18 201,728 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2007-10-11 06:12:42 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2004-08-03 23:57:20 55,808 ------w C:\WINDOWS\system32\extmgr.dll
+ 2007-10-11 06:12:42 55,808 ------w C:\WINDOWS\system32\extmgr.dll
- 2007-11-18 18:21:12 108,600 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-19 18:05:12 108,600 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2001-08-23 15:00:00 79,360 ----a-w C:\WINDOWS\system32\fontsub.dll
+ 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\fontsub.dll
- 2004-08-03 23:57:22 249,344 ----a-w C:\WINDOWS\system32\iepeers.dll
+ 2007-10-11 06:12:42 251,392 ----a-w C:\WINDOWS\system32\iepeers.dll
- 2004-08-03 23:57:22 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
+ 2007-10-11 06:12:42 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
- 2004-08-03 23:57:24 15,872 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2007-10-11 06:12:42 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2004-08-03 23:57:24 1,057,280 ----a-w C:\WINDOWS\system32\kernel32.dll
+ 2007-04-16 15:53:06 1,058,304 ----a-w C:\WINDOWS\system32\kernel32.dll
- 2004-08-03 23:57:28 425,472 ----a-w C:\WINDOWS\system32\msdtcprx.dll
+ 2006-03-01 19:43:34 426,496 ----a-w C:\WINDOWS\system32\msdtcprx.dll
- 2004-08-03 23:57:28 949,248 ----a-w C:\WINDOWS\system32\msdtctm.dll
+ 2006-03-01 19:43:34 956,416 ----a-w C:\WINDOWS\system32\msdtctm.dll
- 2004-08-03 23:57:28 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll
+ 2006-03-01 19:43:34 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll
- 2004-08-03 23:57:28 448,512 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2007-10-11 06:12:44 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2004-08-03 23:57:30 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2007-10-11 06:12:44 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
- 2004-08-03 23:57:30 530,432 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2007-10-11 06:12:44 532,480 ----a-w C:\WINDOWS\system32\mstime.dll
- 2003-09-24 08:44:00 1,230,336 ----a-r C:\WINDOWS\system32\MSXML4.dll
+ 2007-05-08 14:03:04 1,275,392 ----a-w C:\WINDOWS\system32\msxml4.dll
- 2004-08-03 23:57:30 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll
+ 2006-03-01 19:43:34 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll
- 2004-08-03 23:57:30 90,112 ----a-w C:\WINDOWS\system32\mtxoci.dll
+ 2006-03-01 19:43:34 91,136 ----a-w C:\WINDOWS\system32\mtxoci.dll
- 2004-08-03 23:50:14 2,059,136 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
+ 2005-03-02 18:06:16 2,059,136 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
- 2004-08-03 23:50:28 2,183,296 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
+ 2005-03-02 18:06:32 2,181,632 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
- 2004-08-03 23:57:32 1,281,536 ----a-w C:\WINDOWS\system32\ole32.dll
+ 2005-04-28 19:31:44 1,285,120 ----a-w C:\WINDOWS\system32\ole32.dll
- 2001-08-23 15:00:00 68,608 ----a-w C:\WINDOWS\system32\olecli32.dll
+ 2005-04-28 19:31:44 74,752 ----a-w C:\WINDOWS\system32\olecli32.dll
- 2001-08-23 15:00:00 34,304 ----a-w C:\WINDOWS\system32\olecnv32.dll
+ 2005-04-28 19:31:44 37,888 ----a-w C:\WINDOWS\system32\olecnv32.dll
- 2004-08-03 23:57:34 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2007-10-11 06:12:44 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2004-08-03 23:57:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll
+ 2006-06-26 17:40:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll
- 2004-08-03 23:57:34 395,776 ----a-w C:\WINDOWS\system32\rpcss.dll
+ 2005-04-28 19:31:44 395,776 ----a-w C:\WINDOWS\system32\rpcss.dll
- 2004-08-03 23:57:34 8,424,960 ----a-w C:\WINDOWS\system32\shell32.dll
+ 2006-03-17 04:03:36 8,493,056 ----a-w C:\WINDOWS\system32\shell32.dll
- 2006-12-14 08:53:46 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2006-01-19 19:29:14 15,584 ------w C:\WINDOWS\system32\spmsg.dll
- 2004-08-03 23:57:36 210,432 ----a-w C:\WINDOWS\system32\t2embed.dll
+ 2005-10-17 21:20:02 118,272 ----a-w C:\WINDOWS\system32\t2embed.dll
- 2004-08-03 23:58:16 77,824 ----a-w C:\WINDOWS\system32\telnet.exe
+ 2005-05-11 02:30:02 78,336 ----a-w C:\WINDOWS\system32\telnet.exe
- 2004-08-03 23:57:38 119,296 ----a-w C:\WINDOWS\system32\umpnpmgr.dll
+ 2005-08-23 03:39:58 124,416 ----a-w C:\WINDOWS\system32\umpnpmgr.dll
- 2004-08-03 23:57:38 578,560 ----a-w C:\WINDOWS\system32\user32.dll
+ 2005-03-02 18:09:46 578,560 ----a-w C:\WINDOWS\system32\user32.dll
+ 2006-03-17 00:38:02 28,672 ------w C:\WINDOWS\system32\verclsid.exe
- 2004-08-03 23:46:24 1,836,032 ----a-w C:\WINDOWS\system32\win32k.sys
+ 2005-03-02 18:06:14 1,836,416 ----a-w C:\WINDOWS\system32\win32k.sys
- 2004-08-03 23:57:38 291,328 ----a-w C:\WINDOWS\system32\winsrv.dll
+ 2005-03-02 18:09:46 291,840 ----a-w C:\WINDOWS\system32\winsrv.dll
- 2004-08-03 23:57:42 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll
+ 2006-03-01 19:43:34 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll
+ 2007-10-11 00:14:36 123,904 ------w C:\WINDOWS\system32\xpsp3res.dll
+ 2007-05-08 14:06:44 1,275,392 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
+ 2007-04-18 09:36:40 82,432 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2R_6bd6b9abf345378f_4.1.0.0_x-ww_29c3ad6a\msxml4r.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-10 16:03]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-07-20 21:07 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-26 00:48]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-09 17:22]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-11 10:44]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-07 21:56]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ddcyv.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\AutoRunMorrowind.exe
\Shell\install\command - G:\Setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-15 16:53:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-19 19:05:37
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-19 19:06:07 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-19 17:14
.
2007-12-18 19:39:55 --- E O F ---

BataAlexander · 19.12.2007, 21:56

Ok sieht gut aus, eins noch und dann ein HJT Log dazu
1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

QUOTE

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

TR/Vundo.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

TR/Vundo.Gen

Ähnliche Themen: TR/Vundo.Gen