C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
C:\Users\***\AppData\Local\Temp\ddayx.dll

lassen sich nicht löschen! muss ich im abgesicherten modus machen? ...
die anderen files lass ich von virustotal checken und wie fixx ich regedit = 1? hab ich nicht gesetzt!!!

1. ergebniss - Unbekannt
O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 TR/Dldr.ConHook.Gen
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 Adware Generic2.DXZ
BitDefender 7.2 06.22.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.22.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3735 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.22.2007 no virus found
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 06.22.2007 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5058 06.21.2007 no virus found
Microsoft 1.2701 06.22.2007 no virus found
NOD32v2 2344 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 W32/Virtumonde.dam
Panda 9.0.0.4 06.22.2007 Suspicious file
Sophos 4.19.0 06.22.2007 Virtumundo
Sunbelt 2.2.907.0 06.21.2007 VIPRE.Suspicious
Symantec 10 06.22.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 Adware/Virtumonde.jp
VBA32 3.12.0.2 06.21.2007 no virus found

Also?

danke

Zitat:

Zitat von bknown

C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
C:\Users\***\AppData\Local\Temp\ddayx.dll

Hm jo am besten im abgesicherten Modus. Nutz am besten CleanUp! (siehe Sig)

Zitat:

O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll

auch löschen im Abgesicherten Modus

Hey Kerosin, was gibst Du da für Ratschläge???
Bleib mal geschmeidig und lösch nicht alles hier auf seinem System!!!

Diesen unbdingt fixen:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Lade Dir clearprog runter :
Downloads von shTools.de
Prog starten, Haken bei "clear all"

Lade Dir Vundofix herunter :
Vundofix
Im abgesichertem Modus (F8) scanst Du dann mit diesem Programm Dein System.
Dann nochmals mit Spybot den Rechner scannen, alles löschen was der findet.
Anschliessend im normalen Modus booten, wieder Spybot scannen lassen.

Anschliessend nach dieser Anleitung einen e-scan machen:
http://www.trojaner-board.de/38066-e...ightymarc.html

Ergebnis hier posten!

Zu Kerosin: Im übrigen hat bknown das Betriebssystem Vista drauf.....
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\WINDOW~1.50\VistaSrv.exe

So, ich habe es geschafft! Bei mir ist glaube einiges "infiziert" ... Dachte mit NOD32 bin ich gut bedient und sicher

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows [Version 6.0.6000]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\Users\***\AppData\Local\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Windows\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Windows\scvhost.exe//PE_Patch.Stolen infiziert von "Backdoor.Win32.VB.awr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\wtdnatbu.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\ygdqwfek.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\wtdnatbu.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\ygdqwfek.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\aaf7a03-59addbb4/BlackBox.class infiziert von "Trojan-Downloader.Java.OpenConnection.aa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Windows\scvhost.exe//PE_Patch.Stolen infiziert von "Backdoor.Win32.VB.awr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Windows\system32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\system32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen.
File C:\Program Files\NOD32 2.7\infected\3RADUOCA.NQF//PE-Crypt.XorPE//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\RealVNC Enterprise 4.2.9\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Program Files\Serv-U 6.3\ServUTray.exe markiert als not-a-virus:Server-FTP.Win32.Serv-U.6200. Keine Aktion vorgenommen.
File C:\Windows\System32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Windows\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\ProgramData\Microsoft\Windows\Start Menu\programs\antispyware
Offending Folder found: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\antispyware
Offending Folder found: C:\ProgramData\microsoft\windows\start menu\programs\antispyware
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Program Files\Ahead\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\EA GAMES\Battlefield 2\NODVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\643FY456\ErrorSafeNewReleaseInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PYUV0O84\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\VirtualStore\Program Files\EA GAMES\Battlefield 2\NO DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\Downloads\SOFTWARE\System Applications\WLAN Booster 2.03.740\WirelessBooster.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 158608
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 156
Dauer des Scans bisher: 01:40:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:02:58,30
Batchende: 11:03:23,21

Zitat:

Zitat von Mobius07

Hey Kerosin, was gibst Du da für Ratschläge???
Bleib mal geschmeidig und lösch nicht alles hier auf seinem System!!!

Alles? Etwas übertrieben oder?
Beim Regedit und den Temp ordner sind wir uns dekk ich mal einig dass das weg muss.

Und C:\Windows\SYSTEM32\khfcdbb.dll ist sicher keine Systemdatei und wurde auch bei anderen schon als schädlich befunden. Daher sollte er diese auch prüfen und ggf. löschen.

Außerdem sollte er nod32kui.exe und VistaSrv.exe checken falls er sie nicht kennt (nicht löschen)!
Lies erstma bevor du solche unverschämten Äußerungen hier bringst -.-"

streitet euch nicht wegen mir

redegit ist hoffentlich durch das programm behoben? temp ordner komplett gelöscht! C:\Windows\SYSTEM32\khfcdbb.dll soll ich nun löschen?

die anderen beiden dateien waren ok!

ja lösch sie. wurde ja als AdWare erkannt bei VirusTotal.
Geht vermutlich nur im abgesciherten Modus

allet klar...

soll ich dann nochma im normalen modus booten und von hijack this n log schicken oder wie verbleiben wir? sollte jetzt alles in Ordnung sein? ... welches antiviren bzw. schutz gegen trojaner empfehlt ihr denn das sowas nicht nochmal passieren kann?!

danke!

Zitat:

Zitat von bknown

allet klar...

soll ich dann nochma im normalen modus booten und von hijack this n log schicken oder wie verbleiben wir? sollte jetzt alles in Ordnung sein? ...

Ja poste am besten nochma Hijackthis-Log (aber nicht im abgesicherten Modus sondern im normalen Modus).
Tritt das Problem denn noch auf? Ansonsten müssen wir weitersuchen.

Zitat:

welches antiviren bzw. schutz gegen trojaner empfehlt ihr denn das sowas nicht nochmal passieren kann?!

also ich empfehle AntiVir und Spybot, aber das hängt eher von der individuellen Einschätzung ab. Als zusätzlichen Schutz wäre eine Firewall auch sinnvoll., muss aber nicht. Einfach mal Produkte vergleichen (vlt. auch Testberichte) und eigenes Urteil bilden.