Hallo, habe mir gestern ein Programm aus dem Internet gezogen und mir prompt einen Trojaner eingefangen, mit dem Namen TR/Vundo.Gen .QC . oder .DWK, der an für sich keinen Schaden verurswacht, aber im Abstand von ca. 30min meldet sich ständig mein AntiVir zu Wort, dass es einen Trojaner gefunden hat, der entweder in meinen Dokumneten und Einstellungen ist oder in der system32 irgendwelche Dateien befällt. Habe mich auch mal darüber erkundigt und der Trojaner scheint eigentlich recht harmlos zu sein, allerdings nervt die Virus Warnung mit der Zeit. Weiß jemand wie ich den ohne das ich mein System neu aufsetzen muss entfernen kann?

Gruß!

Zusatz: hab AntiVir runter gehaun und mir anstelle dessen Sophos AntiVir installiert und nun zeigt er mir folgendes an:

Datei "C:\WINDOWS\system32\qomkiij.dll" gehört zu Virus/Spyware Troj/Virtum-Gen.

Kann mir vielleicht irgendjemand helfen?

Sorry für die doppel Postings aber ich finde irgendwie den Editier-Button nicht.

Also jetzt nochmal zu meiner Vorgehensweise:

1. habe AntiVir durchlaufen lassen - hat mir TR/Vundo angezeigt, konnt aber nicht gelöscht werden.

2. habe AntiVir deinstalliert und Sophos AntiVir installiert- zeigt mir nun im system32 die Datei qomkiij.dll als befallen von Troj/Virtum-Gen. an > kann ich aber auch nicht löschen

3. habe adaware, S&D durchlaufen lassen, aber die haben auch nichts gefunden (bis auf ein paar cookies)

4. habe versucht die .dll Datei bei Virustotal hochzuladen, aber da wird mir angezeigt, dass das nicht geht, weil die Datei 0byte hat

5. habe Vundofix durchlaufen lassen - hat auch vier Dateien gefunden und hat alle gelöscht, aber nicht den Trojaner

6. habe versucht die .dll Datei mit Killbox zu löschen - ging auch nicht

7. habe ComboFix durchlaufen lassen, hat aber auch nichts gebracht

ABER: anstelle von 1000 Nachrichten von Sophos über den Trojaner sind es momentan nur noch 6

Bekome ich nun irgendwie dieses Teil runter, ohne meinen Laptop neu aufzusetzen? Weil hab auch meine Windows CD nicht hier - bzw- würde es langen Windows einfach nur neu drauf zu spielen?!?

Hallo

mach bitte mal alle versteckten Dateien und Ordner sichtbar.

Lade dir Vundofix und Combofix

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Anschließend erstelle eine Übersicht mit der Filelist

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Also erstmal danke für die Hilfe, aber irgendwie ist etwas ganz komisches passiert...

Ich hatte ja geschrieben, dass ich besagte .dll Datei nicht bei Jotti oder Virustotal überprüfen lassen kann, weil sie angeblich 0kb hat und Killbox konnte die Datei auch nicht löschen.

Also hab ich mir gedacht, machste einfach mal den Total Commander auf, gehst in den System32 Ordner und guckst mal nach der Datei. Datei gefunden, markiert, entf. gedrückt, Papierkorb geleert, Virus weg. Kann sowas sein?!? Kann es wirklich sein, dass das so einfach geht? Hab danach nochmal alle Programme durchlaufen lassen und kein Programm hat irgendwas gefunden, es kommen keine Fehlermeldungen mehr, kein Virusalarm - nichts!

Hallo

Zitat:

Kann es wirklich sein, dass das so einfach geht?

Ich wäre da skeptisch, aber Toyota (nix is unmöglich)

Erstelle mal eine Übersicht mit der Filelist mal schauen ob sich da noch Reste tummeln.

MFG

Ok, hattest recht. Hat den Virus wieder gefunden, allerdings diesmal in einer anderen Datei.

Hier mal ein paar LogFiles:



COMBOFIX

ComboFix 08-02-14.3 - Cebbe 2008-02-16 15:04:18.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.477 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-16 bis 2008-02-16 ))))))))))))))))))))))))))))))
.

2008-02-14 17:34 . 2008-02-14 17:34 <DIR> d-------- C:\VundoFix Backups
2008-02-14 16:50 . 2008-02-14 16:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Cisco Systems
2008-02-14 16:50 . 2008-02-14 16:42 17,920 --a------ C:\WINDOWS\system32\sophosboottasks.exe
2008-02-14 16:34 . 2008-02-14 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Sophos
2008-02-14 16:32 . 2008-02-14 16:43 101,120 --a------ C:\WINDOWS\system32\drivers\savonaccesscontrol.sys
2008-02-14 16:32 . 2008-02-14 16:43 33,408 --a------ C:\WINDOWS\system32\drivers\savonaccessfilter.sys
2008-02-14 16:30 . 2008-02-14 16:50 <DIR> d-------- C:\Programme\Sophos
2008-02-14 15:01 . 2008-02-14 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2008-02-14 14:48 . 2008-02-14 14:48 <DIR> d-------- C:\Programme\Lavasoft
2008-02-13 22:07 . 2008-02-13 22:07 <DIR> d-------- C:\Programme\Notebook Hardware Control
2008-02-13 22:07 . 2008-02-16 13:33 22,528 --a------ C:\WINDOWS\system32\drivers\nhcDriver.sys
2008-02-13 21:37 . 2008-02-13 21:37 <DIR> d-------- C:\Programme\DNA
2008-02-13 21:37 . 2008-02-13 21:37 <DIR> d-------- C:\Programme\BitTorrent
2008-02-13 21:37 . 2008-02-14 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\DNA
2008-02-13 21:16 . 2008-02-13 21:16 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-13 21:16 . 2008-02-14 13:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-02-13 19:33 . 2008-02-13 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\CyberLink
2008-02-13 19:32 . 2008-02-13 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\CyberLink
2008-02-13 19:30 . 2008-02-14 15:40 <DIR> d-------- C:\Programme\CyberLink
2008-02-13 17:32 . 2008-02-13 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\EndNote
2008-02-13 17:31 . 2008-02-13 19:49 <DIR> d-------- C:\Programme\EndNote X Demo
2008-02-12 17:11 . 2002-07-08 00:14 1,294,336 --a------ C:\WINDOWS\system32\vorbis.acm
2008-02-12 17:11 . 2006-06-20 10:56 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2008-02-12 17:08 . 2008-02-12 17:08 <DIR> d-------- C:\Programme\Steinberg
2008-02-12 17:08 . 2008-02-12 17:11 <DIR> d-------- C:\Programme\Image-Line
2008-02-12 17:08 . 2003-06-20 13:28 1,777,664 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-02-06 18:35 . 2008-02-06 18:35 <DIR> d-------- C:\Programme\CONEXANT
2008-02-06 18:09 . 2008-02-06 18:09 <DIR> d-------- C:\Programme\DAMN NFO Viewer
2008-02-05 15:31 . 2008-02-05 15:31 <DIR> d-------- C:\Programme\Microsoft Works
2008-02-05 15:30 . 2008-02-05 15:32 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-02-05 15:30 . 2008-02-05 15:30 <DIR> d-------- C:\Programme\Microsoft.NET
2008-02-05 15:28 . 2008-02-05 15:28 <DIR> dr-h----- C:\MSOCache
2008-02-04 17:07 . 2008-02-04 17:07 <DIR> d-------- C:\Programme\RouterControl
2008-02-04 17:07 . 2008-01-15 14:20 330,336 --a------ C:\WINDOWS\RCoUn.EXE
2008-02-04 17:07 . 2008-02-04 17:07 1,999 -r------- C:\WINDOWS\RouterControl_Uninstall.in
2008-01-28 20:26 . 2008-01-28 20:41 <DIR> d-------- C:\Programme\No23 Recorder
2008-01-28 20:18 . 2008-01-28 20:18 <DIR> d-------- C:\WINDOWS\Replay Media Catcher
2008-01-28 20:18 . 2008-01-28 20:52 <DIR> d-------- C:\Programme\Replay Media Catcher
2008-01-24 16:12 . 2008-01-24 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\CCleanup
2008-01-18 17:15 . 2008-02-05 15:19 <DIR> d-------- C:\Programme\Gene6 FTP Server
2008-01-16 23:47 . 2008-01-19 00:44 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-01-16 23:47 . 2008-01-19 00:51 <DIR> d-------- C:\Programme\TV Movie

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-16 12:38 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-16 01:51 --------- d-----w C:\Programme\Trillian
2008-02-14 14:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-14 14:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-14 13:33 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\Lavasoft
2008-02-13 20:38 --------- d-----w C:\Programme\SpeedFan
2008-02-12 15:35 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\uTorrent
2008-02-05 19:21 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-02-05 14:18 --------- d-----w C:\Programme\FileZilla
2008-01-21 20:29 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\dvdcss
2008-01-20 02:08 --------- d-----w C:\Programme\Winamp
2008-01-15 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Adobe Systems
2008-01-15 13:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-15 12:47 --------- d-----w C:\Programme\Return to Castle Wolfenstein
2008-01-15 07:51 2,322,432 ----a-w C:\WINDOWS\system32\TUKernel.exe
2008-01-10 13:56 --------- d-----w C:\Programme\Audacity
2008-01-10 12:13 --------- d-----w C:\Programme\QuickTime
2008-01-10 12:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer
2008-01-10 00:12 --------- d-----w C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-01-08 17:45 --------- d-----w C:\Programme\EA GAMES
2008-01-04 18:08 --------- d-----w C:\Programme\MSN Messenger
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-17 22:49 48,928 ----a-w C:\WINDOWS\system32\drivers\Tetris.sys
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23D44BCF-AA7A-41D6-8905-E808F16322EF}]
C:\WINDOWS\system32\qomkiij.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB402484-6C9D-4C32-9BB2-619A5F4A3620}]
C:\WINDOWS\system32\ssttr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F30949F0-F560-43F6-8B0F-820600CDF4AD}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVTip"="C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe" [2007-07-02 13:00 94208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"NotebookHardwareControl"="C:\Programme\Notebook Hardware Control\nhc.exe" [2007-05-04 01:33 2629632]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{23D44BCF-AA7A-41D6-8905-E808F16322EF}"= C:\WINDOWS\system32\qomkiij.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkiij]
qomkiij.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2005-09-09 12:26 94208 C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 15:57 133016 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-04-13 14:54 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"VSS"=3 (0x3)
"usnsvc"=3 (0x3)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"helpsvc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe"
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Realtime Audio Engine"="mmrtkrnl.exe" /i
"ATIPTA"="C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"RouterControl"=C:\PROGRA~3\ROUTER~1\ROUTERCONTROL.EXE
"LanguageShortcut"=C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2008-02-14 16:43]
R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2008-02-14 16:43]
R2 HWiNFO32;HWiNFO32 Kernel Driver;C:\Programme\HWiNFO32\HWiNFO32.SYS [2007-03-05 19:14]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-12-13 18:03]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-12-13 18:03]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2007-12-17 23:49]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);C:\WINDOWS\system32\DRIVERS\sea1bus.sys [2007-02-08 11:55]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\sea1mdfl.sys [2007-02-08 11:55]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\sea1mdm.sys [2007-02-08 11:55]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\sea1mgmt.sys [2007-02-08 11:56]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);C:\WINDOWS\system32\DRIVERS\sea1nd5.sys [2007-02-08 11:56]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\sea1obex.sys [2007-02-08 11:56]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);C:\WINDOWS\system32\DRIVERS\sea1unic.sys [2007-02-08 11:56]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64e17f2a-f67d-11db-a7c5-0014a516f0b6}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-13 16:16:58 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-31 08:27:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 15:09:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Sophos Message Router]
"ImagePath"="\"C:\Programme\Sophos\Remote Management System\RouterNT.exe\" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194"
.
Zeit der Fertigstellung: 2008-02-16 15:09:57
ComboFix-quarantined-files.txt 2008-02-16 14:09:41
ComboFix2.txt 2008-02-14 18:34:13
.
2008-02-13 10:03:37 --- E O F ---


UND DIE LETZTEN 30 TAGE DER FILELIST:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\

16.02.2008 15:18 1.409.286.144 pagefile.sys
16.02.2008 15:09 13.442 ComboFix.txt
14.02.2008 19:12 774 VundoFix.txt
12.02.2008 13:33 12.624 debug.log

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\WINDOWS\system32

14.02.2008 16:42 17.920 sophosboottasks.exe
14.02.2008 16:32 406.222 perfh009.dat
14.02.2008 16:32 63.804 perfc009.dat
14.02.2008 16:32 421.846 perfh007.dat
14.02.2008 16:32 77.294 perfc007.dat
14.02.2008 16:32 980.048 PerfStringBackup.INI
13.02.2008 19:46 34.308 BASSMOD.dll
10.02.2008 22:22 2.206 wpa.dbl
05.02.2008 23:37 309.192 FNTCACHE.DAT
05.02.2008 00:09 18.214.008 MRT.exe
15.01.2008 08:51 2.322.432 TUKernel.exe
11.01.2008 06:32 44.544 pngfilt.dll

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\WINDOWS\Prefetch

16.02.2008 15:32 14.790 FIND.EXE-0EC32F1E.pf
16.02.2008 15:32 18.312 CMD.EXE-087B4001.pf
16.02.2008 15:28 48.222 ALUPDATE.EXE-07285CF1.pf
16.02.2008 15:28 28.388 NOTEPAD.EXE-336351A9.pf
16.02.2008 15:27 55.652 SAVMAIN.EXE-295C72AE.pf
16.02.2008 15:27 74.826 STARTUPMANAGER.EXE-2D368FFC.pf
16.02.2008 15:27 37.048 WMIPRVSE.EXE-28F301A9.pf
16.02.2008 15:27 66.608 INTEGRATOR.EXE-3967D297.pf
16.02.2008 15:24 62.198 WINRAR.EXE-3588DFE8.pf
16.02.2008 15:23 100.272 FIREFOX.EXE-1D57670A.pf
16.02.2008 15:22 73.114 THUNDERBIRD.EXE-031A6371.pf
16.02.2008 15:22 141.886 WMPLAYER.EXE-0996933A.pf
16.02.2008 15:20 73.578 MSCORSVW.EXE-1BF30400.pf
16.02.2008 15:20 25.846 NGEN.EXE-38021CCC.pf
16.02.2008 15:20 171.392 WUAUCLT.EXE-399A8E72.pf
16.02.2008 15:20 1.200.186 NTOSBOOT-B00DFAAD.pf
16.02.2008 15:17 67.220 SAVSERVICE.EXE-16C8C2B7.pf
16.02.2008 15:16 65.644 TU_LOGONUI.EXE-0294A669.pf
16.02.2008 15:15 50.666 UPDATEWIZARD.EXE-13F4E8AB.pf
16.02.2008 15:13 20.004 TASKMGR.EXE-20256C55.pf
16.02.2008 15:10 4.748 HANDLE.CFEXE-13427ED2.pf
16.02.2008 15:10 19.950 REGEDIT.EXE-1B606482.pf
16.02.2008 15:09 42.002 CATCHME.CFEXE-0F2A0789.pf
16.02.2008 15:09 33.920 LISTDLLS.CFEXE-163777B3.pf
16.02.2008 15:09 26.168 DUMPHIVE.CFEXE-2ED3B134.pf
16.02.2008 15:09 3.872 GSAR.CFEXE-156760D9.pf
16.02.2008 15:09 57.060 IMAPI.EXE-0BF740A4.pf
16.02.2008 15:09 34.262 CSCRIPT.EXE-1C26180C.pf
16.02.2008 15:09 90.484 EXPLORER.EXE-082F38A9.pf
16.02.2008 15:09 19.092 VERCLSID.EXE-3667BD89.pf
16.02.2008 15:09 76.052 VFIND.EXE-0CB9A64E.pf
16.02.2008 15:09 16.750 REGT.CFEXE-15DB5DAE.pf
16.02.2008 15:09 26.114 IPCONFIG.EXE-2395F30B.pf
16.02.2008 15:09 12.940 PSEXESVC.EXE-35EFACCF.pf
16.02.2008 15:09 12.580 PSEXEC.CFEXE-2CB6A9EC.pf
16.02.2008 15:09 10.754 SWSC.CFEXE-3B4FE4FE.pf
16.02.2008 15:08 13.388 SORT.EXE-194AE83C.pf
16.02.2008 15:08 10.722 SWREG.CFEXE-2BF4FFCD.pf
16.02.2008 15:08 4.098 GREP.CFEXE-20443039.pf
16.02.2008 15:08 8.168 VFIND.CFEXE-2033727F.pf
16.02.2008 15:08 4.476 SED.CFEXE-268D7E58.pf
16.02.2008 15:08 16.792 NIRCMD.CFEXE-19FF4781.pf
16.02.2008 15:08 9.498 MTEE.CFEXE-1E067BC7.pf
16.02.2008 15:08 23.546 KMD.EXE-2FAFDF40.pf
16.02.2008 15:08 11.944 NIRCMD.EXE-2C39EF53.pf
16.02.2008 15:08 15.156 FINDSTR.EXE-0CA6274B.pf
16.02.2008 15:04 13.696 ATTRIB.EXE-39EAFB02.pf
16.02.2008 15:04 12.934 NIRCMD.COM-323C21EC.pf
16.02.2008 15:04 4.118 SF.CFEXE-164B3B2D.pf
16.02.2008 15:03 19.128 SETPATH.CFEXE-034E3D26.pf
16.02.2008 15:03 16.676 ROUTE.EXE-371D32DE.pf
16.02.2008 15:03 2.790 MOVEEX.CFEXE-01B74CA8.pf
16.02.2008 15:03 9.158 CHCP.COM-18156052.pf
16.02.2008 15:03 54.048 COMBOFIX.EXE-2FF9EC49.pf
16.02.2008 15:03 12.048 NIRCMD.COM-223F42C3.pf
16.02.2008 15:03 10.458 SWXCACLS.CFEXE-24057B3B.pf
16.02.2008 15:03 10.452 SWREG.CFEXE-287CC9EF.pf
16.02.2008 14:56 15.940 HIJACKTHIS.EXE-01CCD52F.pf
16.02.2008 14:10 66.964 DFRGNTFS.EXE-269967DF.pf
16.02.2008 14:10 20.494 DEFRAG.EXE-273F131E.pf
16.02.2008 14:10 399.870 Layout.ini
16.02.2008 13:52 51.632 WINAMP.EXE-08C38ED9.pf
16.02.2008 13:49 47.502 TOTALCMD.EXE-0E3CA4DA.pf
16.02.2008 13:36 65.164 GP5.EXE-27A0382F.pf
16.02.2008 13:34 91.188 EXCEL.EXE-0DC93B7A.pf
16.02.2008 13:33 14.396 CTFMON.EXE-0E17969B.pf
16.02.2008 13:33 51.070 NHC.EXE-1233CD06.pf
16.02.2008 13:33 13.494 JUSCHED.EXE-309E47F8.pf
16.02.2008 13:33 14.810 READER_SL.EXE-1EA4C8B2.pf
16.02.2008 13:33 17.312 USERINIT.EXE-30B18140.pf
16.02.2008 13:33 24.056 ATI2EVXX.EXE-19D16EB9.pf
16.02.2008 13:32 9.826 NEROCHECK.EXE-092C6DFA.pf
16.02.2008 13:32 9.320 TINTSETP.EXE-39BF0732.pf
16.02.2008 01:38 75.226 WMPLAYER.EXE-09969339.pf
16.02.2008 01:22 21.106 RUNDLL32.EXE-31768FF0.pf
16.02.2008 01:16 103.548 IEXPLORE.EXE-2CA9778D.pf
16.02.2008 01:09 34.786 RUNDLL32.EXE-3910966A.pf
16.02.2008 01:09 23.056 RUNDLL32.EXE-327ED30F.pf
16.02.2008 00:41 20.320 SNDVOL32.EXE-383480B7.pf
15.02.2008 22:58 98.908 TRILLIAN.EXE-302642F0.pf
15.02.2008 13:29 33.814 RUNDLL32.EXE-1187FB71.pf
15.02.2008 11:48 75.316 WMPLAYER.EXE-09969333.pf
14.02.2008 17:05 94.870 FIREFOX.EXE-1ADC1FDD.pf
14.02.2008 16:57 42.860 MSIEXEC.EXE-2F8A8CAE.pf
14.02.2008 16:31 21.518 WMIADAP.EXE-2DF425B2.pf
14.02.2008 14:31 78.470 DWWIN.EXE-30875ADC.pf
14.02.2008 13:45 81.320 AVNOTIFY.EXE-22AE9451.pf
14.02.2008 13:44 31.614 GUARDGUI.EXE-1BD45C30.pf
14.02.2008 00:07 46.186 UPDATE.EXE-13D57D76.pf
14.02.2008 00:07 16.450 PREUPD.EXE-358AA1C1.pf
13.02.2008 16:00 57.768 AUDITION.EXE-1D426263.pf
93 Datei(en) 5.117.940 Bytes
0 Verzeichnis(se), 7.287.787.520 Bytes frei

----- Windows --------------------------

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\WINDOWS

16.02.2008 15:18 157 wiadebug.log
16.02.2008 15:18 1.655.951 WindowsUpdate.log
16.02.2008 15:18 50 wiaservc.log
16.02.2008 15:18 2.048 bootstat.dat
16.02.2008 15:17 32.546 SchedLgU.Txt
16.02.2008 15:09 227 system.ini
16.02.2008 13:55 2.059 wincmd.ini
15.02.2008 11:54 116 NeroDigital.ini
14.02.2008 01:49 4.122 wmsetup.log
14.02.2008 00:10 19.035 setupapi.log
13.02.2008 11:02 2.936 iis6.log
13.02.2008 11:02 6.107 comsetup.log
13.02.2008 11:02 3.705 ntdtcsetup.log
13.02.2008 11:02 7.077 tsoc.log
13.02.2008 11:02 1.026 ocmsn.log
13.02.2008 11:02 1.374 imsins.log
13.02.2008 11:02 17.021 KB946026.log
13.02.2008 11:02 927 msgsocm.log
13.02.2008 11:02 8.748 ocgen.log
13.02.2008 11:02 18.550 FaxSetup.log
13.02.2008 11:02 1.374 imsins.BAK
13.02.2008 11:02 23.116 KB944533-IE7.log
13.02.2008 11:01 4.026 updspapi.log
13.02.2008 11:01 10.902 KB943055.log
05.02.2008 15:34 400 ODBC.INI
05.02.2008 15:33 517 win.ini
04.02.2008 17:07 1.999 RouterControl_Uninstall.in
28.01.2008 20:52 3.817 Replay Media Catcher Uninstall Log.txt
15.01.2008 14:20 330.336 RCoUn.EXE
15.01.2008 13:47 600 Rtcw.INI
15.11.2007 03:02 0 setupact.log

---- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\WINDOWS\tasks

16.02.2008 15:18 6 SA.DAT
13.02.2008 17:16 396 1-Klick-Wartung.job
31.01.2008 09:27 276 AppleSoftwareUpdate.job
04.08.2004 13:00 65 desktop.ini
4 Datei(en) 743 Bytes
0 Verzeichnis(se), 7.287.791.616 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\WINDOWS\temp

16.02.2008 15:18 255 WGAErrLog.txt
1 Datei(en) 255 Bytes
0 Verzeichnis(se), 7.287.791.616 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CB1-C453

Verzeichnis von C:\DOKUME~1\CEBBE~1.HAT\LOKALE~1\Temp

16.02.2008 15:32 116.940 filelist.txt
16.02.2008 15:23 171 jusched.log
16.02.2008 15:19 0 JET1.tmp
16.02.2008 15:19 16.384 ~DF87DE.tmp
16.02.2008 13:33 16.384 ~DF3EBF.tmp
5 Datei(en) 149.879 Bytes
0 Verzeichnis(se), 7.287.791.616 Bytes frei

...und noch Hijackthis!

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57, on 16.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cebbe.HATE-1E666B622B\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h++p://go.divx.com/divx/webplayerdemo/de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23D44BCF-AA7A-41D6-8905-E808F16322EF} - C:\WINDOWS\system32\qomkiij.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {AB402484-6C9D-4C32-9BB2-619A5F4A3620} - C:\WINDOWS\system32\ssttr.dll (file missing)
O2 - BHO: (no name) - {F30949F0-F560-43F6-8B0F-820600CDF4AD} - (no file)
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKCU\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe tvtip
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~3\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~3\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~3\Sophos\SOPHOS~1\SOPHOS~1.DLL
O20 - Winlogon Notify: qomkiij - qomkiij.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Sophos Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Sophos Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe

--
End of file - 6716 bytes