Hallo zusammen, habe mächtige Probs mit einigen "Untermietern" und bitte um Hilfe/Lösungen, die Logfiles von HJT und Malwarebytes poste ich hier gleich mit:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:57, on 08.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: {8972b9f4-07d6-9839-e214-44264faa8e62} - {26e8aaf4-6244-412e-9389-6d704f9b2798} - C:\WINDOWS\system32\pxzpbc.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbXQjhhf.dll (file missing)
O2 - BHO: (no name) - {86049858-12AC-4DC3-BC06-F9493527E8C4} - C:\WINDOWS\system32\qoMeDWon.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ecb3a271] rundll32.exe "C:\WINDOWS\system32\oxjctmex.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: pxzpbc.dll
O20 - Winlogon Notify: cbXQjhhf - cbXQjhhf.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5092 bytes
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1631
Windows 5.1.2600 Service Pack 3

08.01.2009 15:26:59
mbam-log-2009-01-08 (15-26-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 63037
Laufzeit: 28 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\pxzpbc.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbxqjhhf (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{26e8aaf4-6244-412e-9389-6d704f9b2798} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecb3a271 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\pxzpbc.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cbXQjhhf.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bjeycqhk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\khqcyejb.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mshedaup.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\puadehsm.ini (Trojan.Vundo.H) -> No action taken.
C:\ARK2A.tmp (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Haerger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9HDJY75B\upd105320[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Haerger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N50UDZEG\index[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001357.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001358.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001376.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001377.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{9F619A94-73EF-4B90-8E63-DCBDEA8BDA14}\RP12\A0001378.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cxxvdx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hqfsis.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jjodcdhm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mmiedliv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\svdmiz.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ukooqwcv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yhdetpkn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ddcYoPJC.dll (Trojan.Vundo) -> No action taken.
         

vorab schon Danke für jedwede Hilfe!
lg vik

hi,

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

bedankt @ schrauber26,

werd ich dann jetzt so durchführen und mich dann wieder melden.


lg, vik

So, hier die 1. Rückmeldung:

CCleaner genau nach Anweisung laufen gelassen, scheint soweit ok bis auf ein Prob mit der Registry, die folgenden 2 Einträge tauchen immer wieder als Fehler auf und lassen sich nicht beseitigen, habe jetzt so 7-8 mal probiert.

Code: Alles auswählenAufklappen

ATTFilter

ActiveX/COM Fehler	InProcServer32\C:\WINDOWS\system32\cbXQjhhf.dll	HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
ActiveX/COM Fehler	InProcServer32\C:\WINDOWS\system32\qoMeDWon.dll	HKCR\CLSID\{86049858-12AC-4DC3-BC06-F9493527E8C4}
         

weglassen, weitermachen

Zitat:

Zitat von schrauber26

weglassen, weitermachen

aye, aye !

ich mache also weiter mit Combofix und poste dann das Log ...