Win32/Adware.Virtumonde iifeEWpQ.dll

danielsun47 · 23.08.2008, 11:35

hallo leute,

ich bräuchte mal eure hilfe.

ich habe mir gestern eine spyware/adware eingefangen, die sich mit hilfe mehrerer antivirenprogramme nicht beseitigen ließ. erst ESET SMART SECURITY hat das problem überhaupt identifziert.

das hauptproblem ist scheinbar eine datei namens iifeEWpQ.dll

aber er hat auch einige andere .dll `s gefunden. (ich poste im anschluß an den hijackthis-log den eset-log)

eset kann diese nicht löschen, verschiebt sie nur in quarantäne, was dem prog scheinbar nichts anhaben kann.

internet ist ganz bzw. teilweise ausgefallen. ab und zu werden selbsttätig sites geöffnet. ständig gibt es bluescreens und windows fehlermeldungen (zuweisungen usw..)

ok. hier also der hijackthis-log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:02, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\windows\system32\Rundll32.exe
C:\windows\system32\rundll32.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\D*****\Desktop\HiJackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [d89162c7] rundll32.exe "C:\windows\system32\qqibhlmf.dll",b
O4 - HKLM\..\Run: [BMdba2515b] Rundll32.exe "C:\windows\system32\yclblfeo.dll",s
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\Daniel\LOKALE~1\Temp\B2.tmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://217.6.60.101/blazer/webinstall.cab
O20 - AppInit_DLLs: vjfklv.dll itmajb.dll,dgfqol.dll oxtzqv.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4882 bytes

so, und hier noch die von eset erkannten problemdateien

dies ist die häufigste meldung:

23.08.2008 10:19:55 Echtzeit-Dateischutz Datei C:\windows\system32\iifeEWpQ.dll Win32/Adware.Virtumonde Anwendung Gesäubert durch Löschen (nach dem nächsten Neustart) - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: \??\C:\windows\system32\winlogon.exe.

dann diese hier:

22.08.2008 23:27:29 HTTP-Prüfung Datei http://62.4.83.205/kb65666.exe?&uid=117741D6703811DDA069161827CFFFFF&rid=mm2&guid=34627F40134D48259678C81BA295472B&affid=161827 Win32/Adware.Virtumonde Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

22.08.2008 23:22:53 Echtzeit-Dateischutz Datei C:\WINDOWS\SYSTEM32\MSXML71.DLL Win32/Adware.BHO.NDL Anwendung Gesäubert durch Löschen - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: C:\windows\explorer.exe.

22.08.2008 23:21:18 HTTP-Prüfung Datei http://207.226.178.149/fa07.dll Variante von Win32/Adware.Virtumonde.NBE Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

> ich hoffe ihr könnt mir helfen. ich wäre euch sehr dankbar.

bis dann.

danielsun

undoreal · 23.08.2008, 14:03

Halli hallo danielsun47

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- XP_ dingens.org
- Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe dein System danach mit SUPERAntiSpyware und Anti-Malware und poste auch ein freisches HijackThis log.

danielsun47 · 23.08.2008, 14:28

vielen dank, undoreal..

werde also jetzt mit der abarbeitung deiner liste beginnen.

ich melde mich wieder.

eins schonmal vorweg: das secunia psi bekomm ich nicht zum laufen. es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.

undoreal · 23.08.2008, 17:40

Zitat:

es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.

Für die Dauer das Secunia läuft müssen die Internetoptionen auf niedrig gestellt sein. Nicht vergessen sie danach wieder hoch zu schrauben!

danielsun47 · 24.08.2008, 14:18

hallo undoreal,

hab jetzt also die liste abgearbeitet. das hat einige zeit in anspruch genommen. nach der service pack III installation lief dann auch das secunia.

anbei sende ich dir die logfiles von Combofix, SuperAntiSpyware, Anti-Malware und ein eben gescanntes hijackthis.

die fehlermeldungen sind im übrigen weniger geworden das ungewollte aufrufen von internetseiten bleibt aus.

eine sache ist das noch, was mich etwas wundert. beim starten des rechners erscheint immer eine winupx-meldung (im autostart unter rundll34 beim neustart immer wieder geladen und läßt sich nicht abschalten - siehe hijackthis) und sagt, dass irgendwelche persönlichen einstellungen vorgenommen werden.

ok, also hier die logs:

1. combofix

Code:

ATTFilter

ComboFix 08-08-21.02 - Daniel 2008-08-23 18:15:22.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Daniel\Favoriten\Online Security Test.url
C:\windows\BMdba2515b.txt
C:\windows\BMdba2515b.xml
C:\windows\pskt.ini
C:\windows\system32\anyhlyyk.dll
C:\windows\system32\bujpwk.dll
C:\windows\system32\cftswo.dll
C:\windows\system32\clgxqvtt.dll
C:\windows\system32\dgfqol.dll
C:\windows\system32\drxcxhcc.dll
C:\windows\system32\efcDVpoP.dll
C:\windows\system32\enxlvhno.ini
C:\WINDOWS\system32\fmlhbiqq.ini
C:\windows\system32\glqetoho.dll
C:\windows\system32\hiuuxrpo.dll
C:\windows\system32\ikcqrecj.ini
C:\windows\system32\itmajb.dll
C:\windows\system32\iwgmltem.dll
C:\windows\system32\jcerqcki.dll
C:\windows\system32\kwugbcxv.dll
C:\WINDOWS\system32\lblcylou.ini
C:\windows\system32\lrdheulo.dll
C:\windows\system32\lrhfulwk.dll
C:\windows\system32\mdm.exe
C:\windows\system32\mwngly.dll
C:\windows\system32\omkhnqaa.dll
C:\windows\system32\onhvlxne.dll
C:\windows\system32\oxtzqv.dll
C:\windows\system32\pdiimxyu.dll
C:\WINDOWS\system32\PopVDcfe.ini
C:\WINDOWS\system32\PopVDcfe.ini2
C:\windows\system32\pusmudfu.dll
C:\WINDOWS\system32\pylqsjmq.ini
C:\windows\system32\qmjsqlyp.dll
C:\windows\system32\qqibhlmf.dll
C:\windows\system32\sflyeuxu.ini
C:\windows\system32\sjvowwlv.ini
C:\windows\system32\spmpkoen.dll
C:\windows\system32\sslwhfoa.ini
C:\windows\system32\tnjwhsmn.dll
C:\windows\system32\uainrlgf.dll
C:\windows\system32\ubuppm.dll
C:\windows\system32\ufdumsup.ini
C:\windows\system32\ukswedxm.dll
C:\windows\system32\uolyclbl.dll
C:\windows\system32\vfhhqeun.dll
C:\windows\system32\vjfklv.dll
C:\windows\system32\ybjyvqrw.dll
C:\windows\system32\yclblfeo.dll
C:\windows\system32\yfrqxmuy.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-23 bis 2008-08-23  ))))))))))))))))))))))))))))))
.

2008-08-23 17:47 . 2008-08-23 18:00	<DIR>	d--------	C:\Programme\CCleaner
2008-08-23 16:40 . 2008-08-23 16:40	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-23 16:36 . 2008-04-14 07:52	33,792	-----c---	C:\WINDOWS\system32\dllcache\custsat.dll
2008-08-23 16:32 . 2008-04-13 22:06	144,384	---------	C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-08-23 16:32 . 2008-04-14 00:10	10,240	---------	C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-08-23 16:30 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\005827_.tmp
2008-08-23 15:18 . 2008-08-23 15:18	<DIR>	d--------	C:\Programme\Secunia
2008-08-22 17:02 . 2008-08-22 17:02	<DIR>	d--------	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ESET
2008-08-22 15:38 . 2008-08-22 16:59	<DIR>	d--------	C:\Programme\ESET
2008-08-22 15:38 . 2008-08-22 16:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-08-22 15:09 . 2008-08-22 15:09	102	--ahs----	C:\WINDOWS\klif.spi
2008-08-22 12:46 . 2008-08-23 18:07	16,251	--a------	C:\WINDOWS\system32\winupx
2008-08-22 12:45 . 2008-08-22 15:05	34,823	--a------	C:\WINDOWS\system32\winupx.exe
2008-08-18 12:33 . 2008-08-21 09:15	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-08-18 12:33 . 2008-08-18 12:33	1,409	--a------	C:\WINDOWS\QTFont.for
2008-08-13 22:41 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 22:41 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-04 16:06 . 2008-08-04 16:06	<DIR>	d--------	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\DivX
2008-07-27 13:09 . 2008-07-27 13:54	<DIR>	d--------	C:\Programme\Google
2008-07-27 11:06 . 2008-07-27 11:07	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-23 14:12	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-23 11:42	---------	d-----w	C:\Programme\TuneUp Utilities 2004
2008-08-22 16:00	---------	d-----w	C:\Programme\Norton Security Scan
2008-08-22 13:28	---------	d-----w	C:\Programme\Kaspersky Lab
2008-08-22 11:02	---------	d-----w	C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\uTorrent
2008-08-02 13:56	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-02 12:00	0	----a-w	C:\Programme\temp01
2008-07-26 22:07	---------	d-----w	C:\Programme\DivX
2008-07-22 01:06	---------	d-----w	C:\Programme\MSXML 6.0
2008-07-21 11:35	---------	d-----w	C:\Programme\Microsoft AntiSpyware
2008-07-21 11:06	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-07-15 13:08	---------	d-----w	C:\Programme\QIP
2008-06-27 16:59	---------	d-----w	C:\Programme\MP3 Player Utilities 4.14
2008-06-23 22:57	---------	d-----w	C:\Programme\RichiStudios
2004-11-24 10:51	451,505	----a-w	C:\Dokumente und Einstellungen\F-Virn\F-PROT.EXE
2004-04-26 10:08	62,697	----a-w	C:\Programme\setup.ini
2004-04-26 10:08	564,476	----a-w	C:\Programme\Eumex 704PC DSL.msi
2004-04-26 10:08	3,442,756	----a-w	C:\Programme\Data.Cab
2001-02-27 02:11	967	----a-w	C:\Dokumente und Einstellungen\F-Virn\F-PROT.PIF
2000-11-06 11:16	102,400	----a-w	C:\Programme\setup.exe
2000-07-27 13:49	1,526,275	----a-w	C:\Programme\instmsiw.exe
2000-07-27 13:49	1,513,987	----a-w	C:\Programme\instmsia.exe
2003-12-13 12:12	32	--sha-w	C:\windows\{16A30907-D98F-43E9-BCC3-4DE5E6E3F4D2}.dat
2003-12-13 12:13	32	--sha-w	C:\windows\system32\{150456EF-8E25-49B6-8529-B0CA13121B1D}.dat
2003-12-13 12:12	32	--sha-w	C:\windows\system32\{5E76F2F0-4FDD-4C50-8A38-CFD18D0922F9}.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" [2004-11-11 18:51 303616]
"wzc - konfigurationsfreier dienst für drahtlos .."="C:\windows\System32\svchost.exe" [2008-04-14 07:53 14336]
"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 17:20 380928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="C:\Programme\ESET\ESET Smart Security\egui.exe" [2008-06-10 18:52 1447168]
"Rundll34"="C:\windows\system32\winupx.exe" [2008-08-22 15:05 34823]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP50"= SP5X_32.DLL
"VIDC.SP51"= SP5X_32.DLL
"VIDC.SP52"= SP5X_32.DLL
"VIDC.SP53"= SP5X_32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v3 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v3 Smart Wizard.lnk
backup=C:\windows\pss\NETGEAR WG111v3 Smart Wizard.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk
backup=C:\windows\pss\Ralink Wireless Utility.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-01-06 23:39 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=3 (0x3)
"InCDsrv"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"InCD"=C:\Programme\Ahead\InCD\InCD.exe
"NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
"VTTimer"=VTTimer.exe
"MediaKey"=C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
"A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe
"A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe
"6.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe
"6.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe
"24.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe
"24.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe
"1A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe
"1A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe
"11.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe
"11.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe
"36.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe
"38.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\38.tmp.exe
"36.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"MMReminderService"=C:\Programme\Mindjet\MindManager 7\MMReminderService.exe
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\German\\setup.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2  11Fßä#·ºÄÖ`I;Network Security Service;C:\windows\system32\syshd.exe []
R2 Ca504av;Mega Camera, WDM Video Capture;C:\windows\system32\Drivers\Ca504av.sys []
R3 camvid20;Philips ToUcam Camera; Video;C:\windows\system32\DRIVERS\camdrv21.sys []
R3 Defender;Defender;C:\Programme\SinEspias\Defender.sys []
R3 dtwmnic5;Telekom Eumex 704PC DSL;C:\windows\system32\DRIVERS\dtwmnic5.sys [2001-11-16 18:24]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\windows\system32\DRIVERS\klim5.sys []
R3 kxwdmdrv;kX WDM Driver Service;C:\windows\system32\drivers\kx.sys [2003-08-19 00:27]
R3 MagixASIODrv;MAGIX_ASIO_BoostDriver;D:\magix\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
R3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\windows\system32\NSNDIS5.SYS [2004-03-24 04:12]
R3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\Daniel\Desktop\NEUERO~2\AIRCRA~1.41\AIRCRA~1.41\win32\PEEK5.SYS []
R3 PSI;PSI;C:\windows\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]
R3 ulisa;Telekom Eumex x04PC (USB);C:\windows\system32\Drivers\ulisa.sys [2001-11-15 16:49]
R3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\windows\system32\Drivers\Bulk504.sys []
R4 hpt3xx;hpt3xx;C:\windows\system32\DRIVERS\hpt3xx.syS []
S1 Asapi;Asapi;C:\windows\system32\DRIVERS\Asapi.syS [2002-04-17 21:27]
S2 CAPI20;Eumex 604PC HomeNet;C:\windows\System32\Drivers\CAPI20.SYS [2002-02-21 12:49]
S2 DETEWECP;Telekom CapiPort;C:\windows\System32\drivers\detewecp.sys [2001-09-18 17:46]
S2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 17:16]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;C:\windows\system32\DRIVERS\wg111v3.sys [2007-04-23 14:11]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C74ABF0-7E77-D45F-CC75-92AE801FBD0D}]
C:\windows\system32\winupx.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\windows\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-11 18:51]

2008-08-22 C:\windows\Tasks\Norton Security Scan.job
- C:\Programme\Norton Security Scan\Nss.exe [2008-01-09 04:08]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-d89162c7 - C:\windows\system32\jcerqcki.dll
HKLM-Run-BMdba2515b - C:\windows\system32\pdiimxyu.dll
HKLM-Run-pdfSaver3 - (no file)
HKU-Default-Run-Symantec Network Driver Update Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
HKU-Default-Run-Symantec NetDriver Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
Notify-iifeEWpQ - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\xgupxl9m.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-23 18:34:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Rundll34 = C:\windows\system32\winupx.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-23 18:37:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-23 16:37:07

Pre-Run: 2,184,884,224 Bytes frei
Post-Run: 2,092,544,000 Bytes frei

255	--- E O F ---	2008-08-23 14:09:25

2. superantispyware

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/23/2008 at 08:26 PM

Application Version : 4.20.1046

Core Rules Database Version : 3545
Trace Rules Database Version: 1534

Scan type       : Complete Scan
Total Scan Time : 01:36:06

Memory items scanned      : 370
Memory threats detected   : 0
Registry items scanned    : 5169
Registry threats detected : 7
File items scanned        : 112468
File threats detected     : 7

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@main-scanner[1].txt

Trojan.SmartFinder
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#DisplayName
	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#UninstallString

Adware.E404 Helper/Tracker
	HKCR\CLSID\Tracker.TrackerObj
	HKCR\CLSID\Tracker.TrackerObj#UserId

Trojan.FakeAlert/Desktop
	HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
	HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER

Browser Hijacker.Favorites
	C:\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\SEARCH THE WEB.URL
	C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\ONLINE SECURITY TEST.URL.VIR

NotHarmful.Sysinternals Bluescreen Screen Saver
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.SCR

Unclassified.Unknown Origin/System
	C:\WINDOWS\SYSTEM32\CRYZ32.EXE

Trojan.Downloader-Gen
	C:\WINDOWS\SYSTEM32\STU.DLL

Trojan.Unclassified/Loader-Suspicious
	D:\EJAY\DANCE4\EJAY\EJAY\LOADER.EXE

3. antimalware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1078
Windows 5.1.2600 Service Pack 3

22:40:36 23.08.2008
mbam-log-08-23-2008 (22-40-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 146679
Laufzeit: 1 hour(s), 1 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 46

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\bujpwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\clgxqvtt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dgfqol.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drxcxhcc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\efcDVpoP.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hiuuxrpo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\itmajb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\iwgmltem.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lrdheulo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\lrhfulwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\omkhnqaa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\onhvlxne.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\oxtzqv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\qmjsqlyp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\spmpkoen.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\uainrlgf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ukswedxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\uolyclbl.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vfhhqeun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vjfklv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yclblfeo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yfrqxmuy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161953.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161941.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161943.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161944.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161945.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161946.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161948.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161949.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161950.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161954.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161956.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161957.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161958.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161961.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161963.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161965.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161967.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161968.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161969.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161970.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161972.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161973.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

der beitrag war zu lang. deswegen poste ich den hijackthis-log anschließend.

danielsun47 · 24.08.2008, 14:19

so nun hier, da der letzte post zu lang:

4. das HijackThis von eben

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:43, on 24.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\ESET\ESET Smart Security\ekrn.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ESET\ESET Smart Security\egui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\a n t i\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/firefox?client=firefox-a&rls=org.mozilla:de-DE:official
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5245 bytes

nun, bin ich mal gespannt. danke für die bisherige hilfe und einen schönen sonntag wünsche ich.

danielsun

undoreal · 24.08.2008, 18:05

Fixe mit HJT folgende Einträge:

Zitat:

O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

Sowie alle ........(no file) und .......(file missing) Einträge.

Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\windows\system32\winupx.exe
C:\windows\Rundll34.exe
C:\windows\system32\Rundll34.exe

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

danielsun47 · 26.08.2008, 11:10

hallo..

also der avenger bricht den vorgang mit folgender fehlermeldung ab. > siehe log.

Code:

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Tue Aug 26 12:06:36 2008

12:06:36: Error: Could not open RunOnce key to register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)


//////////////////////////////////////////

und nun ?

liebe grüße. danielsun

undoreal · 26.08.2008, 12:33

Aha. Ist ja interessant.

Versuche das Ganze bitte im abgesicherten Modus.

danielsun47 · 30.08.2008, 10:05

so. ich bin ein paar tage nicht dagewesen.

hab im abgesicherten modus gleiches nochmal probiert; allerdings auch mit dem gleichen resultat.

Code:

ATTFilter

Error: Could not open RunOnce key to register cleanup.
Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)

hmm..

undoreal · 30.08.2008, 16:53

Dann benutze bitte Killbox zum Löschen der Dateien.

26.08.2008, 12:33	#9
undoreal /// AVZ-Toolkit Guru	Win32/Adware.Virtumonde iifeEWpQ.dll Aha. Ist ja interessant. Versuche das Ganze bitte im abgesicherten Modus. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

30.08.2008, 16:53	#11
undoreal /// AVZ-Toolkit Guru	Win32/Adware.Virtumonde iifeEWpQ.dll Dann benutze bitte Killbox zum Löschen der Dateien. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Win32/Adware.Virtumonde iifeEWpQ.dll

Log-Analyse und Auswertung: Win32/Adware.Virtumonde iifeEWpQ.dll