TR/Vundo.Gen
 

Hallo erstmal.
Muss wohl zuerst einmal sagen das ich von solchen Sachen so überhaupt keine Ahnung habe.
Allerdings habe mich wie sich das gehört erstmal informiert und auch hier im Forum einige Dinge zum Thema Vundo erfahren. Ich habe auch einige der Tipps befolgt, aber leider hat nichts geholfen....(ich hoffe ich hab da nichts falsches gemacht/habe es mit VundoFix und VirtumundoBeGone probiert)
Nun hoffe ich auf eure Hilfe
Ich weiß ihr braucht ein log file hab aber keine ahnung wie ich sowas mache(geschweige denn was das ist ^^)...

LG Piggedy

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Anschließend erstelle mal ein Hijackthis Log
Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

HiJackThis.exe lies sich nicht umbenennen.
Hier nun das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:39:50, on 08.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
J:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
J:\Tobit ClipInc\Server\ClipInc-Server.exe
J:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LiveUpdate\LiveUpdate.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 2 für This.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
R3 - URLSearchHook: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul0.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul0.dll
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ClipIncSrvTray] "J:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [a871b748] rundll32.exe "C:\WINDOWS\system32\qqyjeioa.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programme\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [PC SpeedScan Pro] C:\Dokumente und Einstellungen\User\Desktop\einfach ma n ordner\PCSpeedScan.exe -m
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm799YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Programme\Opanda\IExif 1.8\IExifCom.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {ABB660B6-6694-407B-950A-EDBA5A159722} (DVCDownloadControl) - http://webgames.d.tmsrv.com/c=85cbc5bd0eab51aa1bb7155203abd389/aff=t_06po_wg/p/release/sonypictures/wg_davincicode/davincicode/DVCDownloadControl.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://media.grab.com/media/fbd793/games/files/209/SproutLauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03116015-647F-4989-AC22-B16B5FED26D1}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{03116015-647F-4989-AC22-B16B5FED26D1}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hallo

Das üben wir nochmal :D,
erstelle bitte einen eigenen Ordner für Hijackthis z.B. C:\Hijackthis\ und lass dein Entpackprogramm es dorthin entpacken, dann benennst du die Hijackthis.exe um in z.B. This.exe.
Anschließend erstelle und poste ein frisches Hijackthis Log.

Deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software "My Web Search" o.ä. und alle dir unbekannte Software.

Lass bitte Combofix übers System laufen
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Ja sry hab halt wie gesagt nicht so die Ahnung

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

:dummguck: Immer wenn ich versuche Combofix.exe zu starten wird mir gesagt "ComboFix.exe ist keine zulässige Win32-Anwendung".
Problem? oder bin ich wieder zu ....unwissend :confused:

Hallo

Nee da ist wohl irgendwas anderes los
versuche bitte mal diesen Link
http://www.instalki.pl/programy/down...?file=combofix

MFG

ComboFix 07-12-09.1 - User 2007-12-09 12:16:15.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\User\Anwendungsdaten\setup_de[1].exe
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\History\search2
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\afxuhylk.dll
C:\WINDOWS\system32\aoiejyqq.ini
C:\WINDOWS\system32\arbxxrih.dll
C:\WINDOWS\system32\bnxgygvl.ini
C:\WINDOWS\system32\bppvcaas.dll
C:\WINDOWS\system32\byxywtt.dll
C:\WINDOWS\system32\cbxutqq.dll
C:\WINDOWS\system32\cdchyrjx.dll
C:\WINDOWS\system32\clqppkos.dll
C:\WINDOWS\system32\crevioxu.ini
C:\WINDOWS\system32\cwgxbqpt.dll
C:\WINDOWS\system32\dbpsxrey.dll
C:\WINDOWS\system32\dhwiibuk.ini
C:\WINDOWS\system32\difaftoj.ini
C:\WINDOWS\system32\djuoilgx.dll
C:\WINDOWS\system32\ehcfpiwr.dll
C:\WINDOWS\system32\ewnkwdps.ini
C:\WINDOWS\system32\fwhtpgyh.ini
C:\WINDOWS\system32\gjfpuwpt.ini
C:\WINDOWS\system32\guyuwihl.dll
C:\WINDOWS\system32\gxjswnah.ini
C:\WINDOWS\system32\hadmoipr.dll
C:\WINDOWS\system32\hanwsjxg.dll
C:\WINDOWS\system32\hirxxbra.ini
C:\WINDOWS\system32\hsikypeo.dll
C:\WINDOWS\system32\hygpthwf.dll
C:\WINDOWS\system32\jjllm.ini
C:\WINDOWS\system32\jjllm.ini2
C:\WINDOWS\system32\jlbjncxo.ini
C:\WINDOWS\system32\jornkdrk.dll
C:\WINDOWS\system32\jotfafid.dll
C:\WINDOWS\system32\jspwrwem.dll
C:\WINDOWS\system32\jyfkrlgv.ini
C:\WINDOWS\system32\kcqlgauy.dll
C:\WINDOWS\system32\kikjnxdq.dll
C:\WINDOWS\system32\kiyyqqgv.ini
C:\WINDOWS\system32\klyhuxfa.ini
C:\WINDOWS\system32\krdknroj.ini
C:\WINDOWS\system32\kubiiwhd.dll
C:\WINDOWS\system32\kvkaewku.ini
C:\WINDOWS\system32\lhiwuyug.ini
C:\WINDOWS\system32\lvgygxnb.dll
C:\WINDOWS\system32\lvvtobqo.ini
C:\WINDOWS\system32\mewrwpsj.ini
C:\WINDOWS\system32\mlljj.dll
C:\WINDOWS\system32\motxbacs.ini
C:\WINDOWS\system32\mtschlat.ini
C:\WINDOWS\system32\ncsmehww.ini
C:\WINDOWS\system32\npamislx.dll
C:\WINDOWS\system32\oepykish.ini
C:\WINDOWS\system32\ofysamwr.ini
C:\WINDOWS\system32\oqbotvvl.dll
C:\WINDOWS\system32\ovgvtnvx.dll
C:\WINDOWS\system32\oxcnjblj.dll
C:\WINDOWS\system32\qdxnjkik.ini
C:\WINDOWS\system32\qmeirqex.ini
C:\WINDOWS\system32\qqyjeioa.dll
C:\WINDOWS\system32\rpiomdah.ini
C:\WINDOWS\system32\rwipfche.ini
C:\WINDOWS\system32\rwljnfcw.ini
C:\WINDOWS\system32\rwmasyfo.dll
C:\WINDOWS\system32\saacvppb.ini
C:\WINDOWS\system32\scabxtom.dll
C:\WINDOWS\system32\sokppqlc.ini
C:\WINDOWS\system32\spdwknwe.dll
C:\WINDOWS\system32\svobercx.ini
C:\WINDOWS\system32\talhcstm.dll
C:\WINDOWS\system32\tpqbxgwc.ini
C:\WINDOWS\system32\tpwupfjg.dll
C:\WINDOWS\system32\ukweakvk.dll
C:\WINDOWS\system32\uxoiverc.dll
C:\WINDOWS\system32\vglrkfyj.dll
C:\WINDOWS\system32\vgqqyyik.dll
C:\WINDOWS\system32\vjtfqlqy.ini
C:\WINDOWS\system32\vyrwtnny.ini
C:\WINDOWS\system32\wcfnjlwr.dll
C:\WINDOWS\system32\wwhemscn.dll
C:\WINDOWS\system32\xcrebovs.dll
C:\WINDOWS\system32\xeqriemq.dll
C:\WINDOWS\system32\xglioujd.ini
C:\WINDOWS\system32\xjryhcdc.ini
C:\WINDOWS\system32\xlsimapn.ini
C:\WINDOWS\system32\xvntvgvo.ini
C:\WINDOWS\system32\yerxspbd.ini
C:\WINDOWS\system32\ynntwryv.dll
C:\WINDOWS\system32\yqlqftjv.dll
C:\WINDOWS\system32\yuaglqck.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-09 bis 2007-12-09 ))))))))))))))))))))))))))))))
.

2007-12-09 11:18 . 2006-04-23 22:39 290,816 --a------ C:\Programme\Uninstall My Web Search.dll
2007-12-09 10:50 . 2007-12-09 10:54 <DIR> d-------- C:\HiJackThis
2007-12-08 06:38 . 2007-12-08 06:38 834,100 ---hs---- C:\WINDOWS\system32\hlfxcshi.ini
2007-12-08 03:32 . 2007-12-08 03:32 834,100 ---hs---- C:\WINDOWS\system32\aspdwdvx.ini
2007-12-08 00:25 . 2007-12-08 00:49 834,460 ---hs---- C:\WINDOWS\system32\yulhbxcv.ini
2007-12-07 22:36 . 2007-12-07 22:36 12 --a------ C:\WINDOWS\system32\a871a5c6
2007-12-07 18:44 . 2007-12-07 22:34 834,340 ---hs---- C:\WINDOWS\system32\cqovxpne.ini
2007-12-07 17:44 . 2007-12-07 17:44 834,160 ---hs---- C:\WINDOWS\system32\nmojfnie.ini
2007-12-07 17:42 . 2007-12-07 17:43 834,100 ---hs---- C:\WINDOWS\system32\bcydxsxj.ini
2007-12-07 15:41 . 2007-12-07 16:42 834,460 ---hs---- C:\WINDOWS\system32\wvrqiurw.ini
2007-12-07 15:38 . 2007-12-07 15:38 834,400 ---hs---- C:\WINDOWS\system32\askgsupn.ini
2007-12-07 14:38 . 2007-12-07 14:38 834,340 ---hs---- C:\WINDOWS\system32\grmvprcs.ini
2007-12-07 13:38 . 2007-12-07 13:38 834,280 ---hs---- C:\WINDOWS\system32\dvfhvbis.ini
2007-12-07 13:35 . 2007-12-07 13:35 834,220 ---hs---- C:\WINDOWS\system32\hpvkhxnn.ini
2007-12-07 12:35 . 2007-12-07 12:35 833,164 ---hs---- C:\WINDOWS\system32\bbeoncct.ini
2007-12-07 11:35 . 2007-12-07 11:35 832,071 ---hs---- C:\WINDOWS\system32\jhdldgkp.ini
2007-12-07 06:33 . 2007-12-07 10:31 354 ---hs---- C:\WINDOWS\system32\kryaxjhi.ini
2007-12-07 04:31 . 2007-12-07 04:31 831,417 ---hs---- C:\WINDOWS\system32\vdywvjqm.ini
2007-12-07 02:42 . 2007-06-20 14:47 143,360 --a------ C:\WINDOWS\system32\ConTest.dll
2007-12-07 02:42 . 2003-04-22 15:41 36,864 --a------ C:\WINDOWS\system32\ascbalon.dll
2007-12-07 02:42 . 2007-02-13 11:05 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2007-12-07 01:29 . 2007-12-07 02:27 831,486 ---hs---- C:\WINDOWS\system32\qjmbsufd.ini
2007-12-07 01:26 . 2007-12-07 01:27 831,417 ---hs---- C:\WINDOWS\system32\fnybghtf.ini
2007-12-07 00:24 . 2007-12-07 00:24 832,437 ---hs---- C:\WINDOWS\system32\skkododw.ini
2007-12-06 23:24 . 2007-12-06 23:24 832,377 ---hs---- C:\WINDOWS\system32\bharnlfj.ini
2007-12-06 18:12 . 2007-12-06 22:21 816,620 ---hs---- C:\WINDOWS\system32\ntieahhs.ini
2007-12-06 17:12 . 2007-12-06 17:12 808,248 ---hs---- C:\WINDOWS\system32\cqcrdcad.ini
2007-12-06 16:12 . 2007-12-06 16:12 808,188 ---hs---- C:\WINDOWS\system32\lftcbafh.ini
2007-12-06 16:09 . 2007-12-06 16:09 808,128 ---hs---- C:\WINDOWS\system32\gjdkblba.ini
2007-12-06 15:09 . 2007-12-06 15:09 808,068 ---hs---- C:\WINDOWS\system32\nycxltiu.ini
2007-12-06 14:09 . 2007-12-06 14:09 808,008 ---hs---- C:\WINDOWS\system32\hxkellfi.ini
2007-12-06 14:06 . 2007-12-06 14:06 807,948 ---hs---- C:\WINDOWS\system32\pfttvcwv.ini
2007-12-06 13:06 . 2007-12-06 13:07 807,888 ---hs---- C:\WINDOWS\system32\rxhohgew.ini
2007-12-06 12:06 . 2007-12-06 12:07 807,828 ---hs---- C:\WINDOWS\system32\lwjgtrol.ini
2007-12-06 11:06 . 2007-12-06 12:06 807,768 ---hs---- C:\WINDOWS\system32\ouupwskb.ini
2007-12-06 11:03 . 2007-12-06 11:04 807,708 ---hs---- C:\WINDOWS\system32\muynmroh.ini
2007-12-06 10:03 . 2007-12-06 10:03 807,648 ---hs---- C:\WINDOWS\system32\jotuqwpo.ini
2007-12-06 09:03 . 2007-12-06 09:04 807,588 ---hs---- C:\WINDOWS\system32\wowdtinw.ini
2007-12-06 08:03 . 2007-12-06 08:03 807,528 ---hs---- C:\WINDOWS\system32\aartikqn.ini
2007-12-06 08:00 . 2007-12-06 08:00 807,468 ---hs---- C:\WINDOWS\system32\htfpugvx.ini
2007-12-06 05:58 . 2007-12-06 05:58 807,828 ---hs---- C:\WINDOWS\system32\bmolccpy.ini
2007-12-06 05:57 . 2007-12-06 05:58 807,768 ---hs---- C:\WINDOWS\system32\qpcwqidp.ini
2007-12-06 04:59 . 2007-12-06 05:01 807,708 ---hs---- C:\WINDOWS\system32\nrreorgi.ini
2007-12-06 03:55 . 2007-12-06 03:56 807,648 ---hs---- C:\WINDOWS\system32\tjahcyln.ini
2007-12-06 02:52 . 2007-12-06 02:54 807,597 ---hs---- C:\WINDOWS\system32\uaudvkul.ini
2007-12-06 01:49 . 2007-12-06 01:49 807,528 ---hs---- C:\WINDOWS\system32\climkqkj.ini
2007-12-06 01:47 . 2007-12-06 01:47 807,468 ---hs---- C:\WINDOWS\system32\yiyuyboc.ini
2007-12-05 23:41 . 2007-12-06 00:20 808,437 ---hs---- C:\WINDOWS\system32\qupjcfgt.ini
2007-12-05 23:38 . 2007-12-05 23:38 808,368 ---hs---- C:\WINDOWS\system32\hgotsfwn.ini
2007-12-05 22:38 . 2007-12-05 22:38 808,308 ---hs---- C:\WINDOWS\system32\bocwdgud.ini
2007-12-05 21:38 . 2007-12-05 21:38 808,248 ---hs---- C:\WINDOWS\system32\vaesseva.ini
2007-12-05 20:38 . 2007-12-05 20:38 808,188 ---hs---- C:\WINDOWS\system32\phhnkmhs.ini
2007-12-05 20:35 . 2007-12-05 20:35 808,128 ---hs---- C:\WINDOWS\system32\achusdoj.ini
2007-12-05 19:35 . 2007-12-05 19:35 808,068 ---hs---- C:\WINDOWS\system32\iplgouhp.ini
2007-12-05 18:35 . 2007-12-05 19:35 808,008 ---hs---- C:\WINDOWS\system32\cqtujyus.ini
2007-12-05 18:32 . 2007-12-05 18:33 807,948 ---hs---- C:\WINDOWS\system32\csgaisbi.ini
2007-12-05 17:29 . 2007-12-05 17:29 807,888 ---hs---- C:\WINDOWS\system32\dgqmtjfe.ini
2007-12-05 17:26 . 2007-12-05 17:26 807,828 ---hs---- C:\WINDOWS\system32\icgayrjc.ini
2007-12-05 16:59 . 2007-12-05 16:59 807,768 ---hs---- C:\WINDOWS\system32\ceprejij.ini
2007-12-05 15:56 . 2007-12-05 15:56 807,708 ---hs---- C:\WINDOWS\system32\eomehmfd.ini
2007-12-05 14:56 . 2007-12-05 14:56 807,648 ---hs---- C:\WINDOWS\system32\xdmgcyqw.ini
2007-12-05 13:56 . 2007-12-05 13:56 807,588 ---hs---- C:\WINDOWS\system32\bhynngdx.ini
2007-12-05 13:53 . 2007-12-05 13:53 807,528 ---hs---- C:\WINDOWS\system32\jdbdxado.ini
2007-12-05 12:53 . 2007-12-05 12:53 806,301 ---hs---- C:\WINDOWS\system32\kmtgceqg.ini
2007-12-05 07:23 . 2007-12-05 07:23 668,992 ---hs---- C:\WINDOWS\system32\achgaibj.ini
2007-12-05 06:20 . 2007-12-05 06:20 294 ---hs---- C:\WINDOWS\system32\autopdnk.ini
2007-12-05 05:18 . 2007-12-05 05:18 805,501 ---hs---- C:\WINDOWS\system32\vinvckqr.ini
2007-12-05 04:18 . 2007-12-05 04:18 805,441 ---hs---- C:\WINDOWS\system32\dsehneup.ini
2007-12-05 03:18 . 2007-12-05 03:41 805,390 ---hs---- C:\WINDOWS\system32\odajwuxy.ini
2007-12-05 03:15 . 2007-12-05 03:15 805,321 ---hs---- C:\WINDOWS\system32\dksqilbe.ini
2007-12-05 01:15 . 2007-12-05 01:15 294 ---hs---- C:\WINDOWS\system32\ifhddgob.tmp
2007-12-05 00:12 . 2007-12-05 01:13 802,574 ---hs---- C:\WINDOWS\system32\fiflmqna.ini
2007-12-04 23:12 . 2007-12-04 23:12 802,514 ---hs---- C:\WINDOWS\system32\svmnhnmk.ini
2007-12-04 23:12 . 2007-12-04 23:12 802,454 ---hs---- C:\WINDOWS\system32\ctdaufhb.tmp
2007-12-04 23:09 . 2007-12-04 23:10 802,454 ---hs---- C:\WINDOWS\system32\ctdaufhb.ini
2007-12-04 22:09 . 2007-12-04 23:10 802,394 ---hs---- C:\WINDOWS\system32\xrjuinuk.ini
2007-12-04 21:09 . 2007-12-04 21:09 802,334 ---hs---- C:\WINDOWS\system32\gworenqe.ini
2007-12-04 21:06 . 2007-12-04 21:06 802,274 ---hs---- C:\WINDOWS\system32\qaypwqiv.ini
2007-12-04 20:06 . 2007-12-04 20:06 802,214 ---hs---- C:\WINDOWS\system32\kkbsdbkc.ini
2007-12-04 19:06 . 2007-12-04 20:06 802,154 ---hs---- C:\WINDOWS\system32\gufqekwk.ini
2007-12-04 18:06 . 2007-12-04 19:06 805,441 ---hs---- C:\WINDOWS\system32\xuvsvkot.ini
2007-12-04 18:03 . 2007-12-04 18:03 802,034 ---hs---- C:\WINDOWS\system32\qnkniqse.ini
2007-12-04 17:03 . 2007-12-04 17:03 801,974 ---hs---- C:\WINDOWS\system32\kabjscud.ini
2007-12-04 03:53 . 2007-12-04 03:55 793,980 ---hs---- C:\WINDOWS\system32\sefqrhho.ini
2007-12-04 01:52 . 2007-12-04 01:52 793,980 ---hs---- C:\WINDOWS\system32\dldvqkxb.ini
2007-12-04 00:49 . 2007-12-04 00:49 793,980 ---hs---- C:\WINDOWS\system32\owqmswtj.ini
2007-12-03 23:42 . 2007-12-03 23:42 794,040 ---hs---- C:\WINDOWS\system32\xgonghws.ini
2007-12-03 22:41 . 2007-12-03 22:41 793,980 ---hs---- C:\WINDOWS\system32\vpsxapom.ini
2007-12-03 20:39 . 2007-12-03 21:40 794,520 ---hs---- C:\WINDOWS\system32\vlmxghrk.ini
2007-12-03 19:39 . 2007-12-03 19:39 794,460 ---hs---- C:\WINDOWS\system32\axypfatv.ini
2007-12-03 19:36 . 2007-12-03 19:36 794,400 ---hs---- C:\WINDOWS\system32\ymsqmxui.ini
2007-12-03 18:36 . 2007-12-03 18:36 792,889 ---hs---- C:\WINDOWS\system32\cagmokdk.ini
2007-12-03 17:36 . 2007-12-03 17:36 792,829 ---hs---- C:\WINDOWS\system32\gbkdcavw.ini
2007-12-03 16:36 . 2007-12-03 16:36 792,720 ---hs---- C:\WINDOWS\system32\hedwofoa.ini
2007-12-03 16:33 . 2007-12-03 16:33 792,660 ---hs---- C:\WINDOWS\system32\nlpylxwk.ini
2007-12-03 15:33 . 2007-12-03 15:33 792,522 ---hs---- C:\WINDOWS\system32\gwtrkuel.ini
2007-12-03 14:33 . 2007-12-03 14:33 792,252 ---hs---- C:\WINDOWS\system32\afjrwoei.ini
2007-12-03 14:30 . 2007-12-03 14:30 294 ---hs---- C:\WINDOWS\system32\rlyltohl.ini
2007-12-02 16:13 . 2007-12-03 13:29 793,724 ---hs---- C:\WINDOWS\system32\yvnvplcb.ini
2007-11-26 12:32 . 2007-11-27 12:33 783,723 ---hs---- C:\WINDOWS\system32\hdaasmfi.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-09 10:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-08 01:04 --------- d-----w C:\Programme\StarOffice7
2007-12-07 22:31 --------- d-----w C:\Programme\Java
2007-11-16 16:17 --------- d-----w C:\Programme\PokerStars.NET
2007-11-11 01:41 --------- d-----w C:\Programme\PokerOffice
2007-11-06 01:52 --------- d-----w C:\Programme\PartyGaming
2007-10-22 07:43 --------- d-----w C:\Programme\DATA BECKER
2007-10-22 04:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-10-22 04:05 --------- d-----w C:\Programme\Antivir
2007-10-22 03:23 --------- d-----w C:\Programme\UNNÜTZE
2007-10-20 03:48 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Tobit
2007-10-20 03:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Tobit
2007-01-04 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\User\mqdmmdm.sys
2007-01-04 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\User\mqdmmdfl.sys
2007-01-04 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\User\mqdmserd.sys
2007-01-04 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\User\mqdmbus.sys
2007-01-04 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\User\mqdmcmnt.sys
2007-01-04 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\User\mqdmwhnt.sys
2007-01-04 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\User\mqdmcr.sys
2007-01-04 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\User\usbsermptxp.sys
2007-01-04 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\User\usbsermpt.sys
2005-05-11 14:30 774,144 ----a-w C:\Programme\RngInterstitial.dll
2005-03-23 11:28 284 ----a-w C:\Dokumente und Einstellungen\User\Anwendungsdaten\ViewerApp.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1B7F7A9D-0B21-455B-B6F6-5537A01B76D6}]
2006-01-28 02:53 25704 --a------ C:\WINDOWS\system32\msi32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"BTCLiveUpdate"="C:\Programme\LiveUpdate\LiveUpdate.exe" [2004-03-08 12:50]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [2004-08-06 15:33]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-06-16 13:38]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 15:37]
"Performance Center"="C:\Programme\Ascentive\Performance Center\APCMain.exe" []
"PC SpeedScan Pro"="C:\Dokumente und Einstellungen\User\Desktop\einfach ma n ordner\PCSpeedScan.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSDrvCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-08-28 09:47]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 18:58]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 09:36]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-24 12:27]
"POEngine"="" []
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-18 18:43]
"ClipIncSrvTray"="J:\Tobit ClipInc\Player\ClipIncTray.exe" [2007-10-24 15:05]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^StarOffice 7.lnk]
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-08-03 21:10 339968 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
2002-07-12 11:15 106496 --a------ C:\WINDOWS\SiSUSBrg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"=C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LVCOMS"=C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R2 ClipInc001;ClipInc 001;J:\Tobit ClipInc\Server\ClipInc-Server.exe 001
R2 ClipInc002;ClipInc 002;J:\Tobit ClipInc\Server\ClipInc-Server.exe 002
R2 ClipInc003;ClipInc 003;J:\Tobit ClipInc\Server\ClipInc-Server.exe 003
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS
S3 CxUSB;Logitech QuickCam VC USB;C:\WINDOWS\system32\DRIVERS\CxUSB.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\RunGame.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-07 16:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2007-12-06 06:59:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 20:22:59 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\DOKUME~1\User\LOKALE~1\Temp\krfgehsnEC18160.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 12:42:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-09 12:46:27 - machine was rebooted
.
--- E O F ---

Hallo

lade bitte diese Dateien hoch
lass sie hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.
Sieh bitte auch in diesen Ordner
und lass wenn sich dort Dateien befinden einige von ihnen auswerten.



Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

C:\WINDOWS\system32\msi32.dll :

Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.12.8.0
2007.12.07
-
AntiVir
7.6.0.40
2007.12.07
ADSPY/Bho.aa.1
Authentium
4.93.8
2007.12.08
W32/Downloader.MNI
Avast
4.7.1098.0
2007.12.08
Win32:Trojano-3384
AVG
7.5.0.503
2007.12.09
Collected.11.AD
BitDefender
7.2
2007.12.09
Trojan.BHO.WebPrefix.A
CAT-QuickHeal
9.00
2007.12.08
-
ClamAV
0.91.2
2007.12.09
AdWare.BHO-2
DrWeb
4.44.0.09170
2007.12.09
-
eSafe
7.0.15.0
2007.12.06
-
eTrust-Vet
31.3.5361
2007.12.08
-
Ewido
4.0
2007.12.09
Trojan.BHO.b
FileAdvisor
1
2007.12.09
-
Fortinet
3.14.0.0
2007.12.09
Adware/KeenValue
F-Prot
4.4.2.54
2007.12.08
W32/Downloader.MNI
F-Secure
6.70.13030.0
2007.12.09
-
Ikarus
T3.1.1.12
2007.12.09
AdWare.Win32.BHO.aa
Kaspersky
7.0.0.125
2007.12.09
not-a-virus:AdWare.Win32.BHO.aa
McAfee
5181
2007.12.08
potentially unwanted program Adware-KeenValue
Microsoft
1.3007
2007.12.09
BrowserModifier:Win32/KeenValuePerfectNav
NOD32v2
2711
2007.12.07
a variant of Win32/Adware.BHO.AA
Norman
5.80.02
2007.12.07
W32/BHO.X
Panda
9.0.0.4
2007.12.09
Adware/KeenValue
Prevx1
V2
2007.12.09
-
Rising
20.21.42.00
2007.12.07
Trojan.DL.Agent.kpx
Sophos
4.24.0
2007.12.09
Mapkon
Sunbelt
2.2.907.0
2007.12.07
-
TheHacker
6.2.9.153
2007.12.07
Adware/BHO.aa
VBA32
3.12.2.5
2007.12.07
suspected of Trojan-Downloader.Agent.47
VirusBuster
4.3.26:9
2007.12.08
Adware.BHO.JT
Webwasher-Gateway
6.6.2
2007.12.08
Ad-Spyware.Bho.aa.1

weitere Informationen
File size: 25704 bytes
MD5: bf0abe20b145556c3c376decef0f40a4
SHA1: eff3d1971f9c482d675e498a76a42829cf59b79f
PEiD: -
_____________________________________________________________

C:\WINDOWS\system32\ConTest.dll :

Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.12.8.0
2007.12.07
-
AntiVir
7.6.0.40
2007.12.07
-
Authentium
4.93.8
2007.12.08
-
Avast
4.7.1098.0
2007.12.08
-
AVG
7.5.0.503
2007.12.09
-
BitDefender
7.2
2007.12.09
-
CAT-QuickHeal
9.00
2007.12.08
-
ClamAV
0.91.2
2007.12.09
-
DrWeb
4.44.0.09170
2007.12.09
-
eSafe
7.0.15.0
2007.12.06
-
eTrust-Vet
31.3.5361
2007.12.08
-
Ewido
4.0
2007.12.09
-
FileAdvisor
1
2007.12.09
-
Fortinet
3.14.0.0
2007.12.09
-
F-Prot
4.4.2.54
2007.12.08
-
F-Secure
6.70.13030.0
2007.12.09
-
Ikarus
T3.1.1.12
2007.12.09
-
Kaspersky
7.0.0.125
2007.12.09
-
McAfee
5181
2007.12.08
-
Microsoft
1.3007
2007.12.09
-
NOD32v2
2711
2007.12.07
-
Norman
5.80.02
2007.12.07
-
Panda
9.0.0.4
2007.12.09
-
Prevx1
V2
2007.12.09
-
Rising
20.21.42.00
2007.12.07
-
Sophos
4.24.0
2007.12.09
-
Sunbelt
2.2.907.0
2007.12.07
-
Symantec
10
2007.12.09
-
TheHacker
6.2.9.153
2007.12.07
-
VBA32
3.12.2.5
2007.12.07
-
VirusBuster
4.3.26:9
2007.12.08
-
Webwasher-Gateway
6.6.2
2007.12.08
-
weitere Informationen
File size: 143360 bytes
MD5: e8a71ee0bc7b40eb3c741c57031849e9
SHA1: a0305a168c5705505fe8231fb004dbe6da6b3dff
_____________________________________________________________
C:\WINDOWS\system32\ascbalon.dll

Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.12.8.0
2007.12.07
-
AntiVir
7.6.0.40
2007.12.07
-
Authentium
4.93.8
2007.12.08
-
Avast
4.7.1098.0
2007.12.08
-
AVG
7.5.0.503
2007.12.09
-
BitDefender
7.2
2007.12.09
-
CAT-QuickHeal
9.00
2007.12.08
-
ClamAV
0.91.2
2007.12.09
-
DrWeb
4.44.0.09170
2007.12.09
-
eSafe
7.0.15.0
2007.12.06
-
eTrust-Vet
31.3.5361
2007.12.08
-
Ewido
4.0
2007.12.09
-
FileAdvisor
1
2007.12.09
-
Fortinet
3.14.0.0
2007.12.09
-
F-Prot
4.4.2.54
2007.12.08
-
F-Secure
6.70.13030.0
2007.12.09
-
Ikarus
T3.1.1.12
2007.12.09
-
Kaspersky
7.0.0.125
2007.12.09
-
McAfee
5181
2007.12.08
-
Microsoft
1.3007
2007.12.09
-
NOD32v2
2711
2007.12.07
-
Norman
5.80.02
2007.12.07
-
Panda
9.0.0.4
2007.12.09
-
Prevx1
V2
2007.12.09
-
Rising
20.21.42.00
2007.12.07
-
Sophos
4.24.0
2007.12.09
-
Sunbelt
2.2.907.0
2007.12.07
-
Symantec
10
2007.12.09
-
TheHacker
6.2.9.153
2007.12.07
-
VBA32
3.12.2.5
2007.12.07
-
VirusBuster
4.3.26:9
2007.12.08
-
Webwasher-Gateway
6.6.2
2007.12.08
-
weitere Informationen
File size: 36864 bytes
MD5: fe6396ecf6f2653c26044338abc93226
SHA1: 16757e450b1e06c38be290d710d1263fa67260a9
PEiD: Armadillo v1.xx - v2.xx
_______________________________________________________________
C:\Programme\RngInterstitial.dll :
Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.12.8.0
2007.12.07
-
AntiVir
7.6.0.40
2007.12.07
-
Authentium
4.93.8
2007.12.08
-
Avast
4.7.1098.0
2007.12.08
-
AVG
7.5.0.503
2007.12.09
-
BitDefender
7.2
2007.12.09
-
CAT-QuickHeal
9.00
2007.12.08
-
ClamAV
0.91.2
2007.12.09
-
DrWeb
4.44.0.09170
2007.12.09
-
eSafe
7.0.15.0
2007.12.06
-
eTrust-Vet
31.3.5361
2007.12.08
-
Ewido
4.0
2007.12.09
-
FileAdvisor
1
2007.12.09
-
Fortinet
3.14.0.0
2007.12.09
-
F-Prot
4.4.2.54
2007.12.08
-
F-Secure
6.70.13030.0
2007.12.09
-
Ikarus
T3.1.1.12
2007.12.09
-
Kaspersky
7.0.0.125
2007.12.09
-
McAfee
5181
2007.12.08
-
Microsoft
1.3007
2007.12.09
-
NOD32v2
2711
2007.12.07
-
Norman
5.80.02
2007.12.07
-
Panda
9.0.0.4
2007.12.09
-
Prevx1
V2
2007.12.09
-
Rising
20.21.42.00
2007.12.07
-
Sophos
4.24.0
2007.12.09
-
Sunbelt
2.2.907.0
2007.12.07
-
Symantec
10
2007.12.09
-
TheHacker
6.2.9.153
2007.12.07
-
VBA32
3.12.2.5
2007.12.07
-
VirusBuster
4.3.26:9
2007.12.08
-
Webwasher-Gateway
6.6.2
2007.12.08
-
weitere Informationen
File size: 774144 bytes
MD5: 77d3a60b2e838e1cc6a682bd9761da63
SHA1: 57fd5a21e7ef01bf29c96660d9389809227e6f7f
PEiD: Armadillo v1.xx - v2.xx
____________________________________________________________
C:\WINDOWS\system32\a871a5c6 (kein Ordner sondern Datei) :
Antivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3
2007.12.8.0
2007.12.07
-
AntiVir
7.6.0.40
2007.12.07
-
Authentium
4.93.8
2007.12.08
-
Avast
4.7.1098.0
2007.12.08
-
AVG
7.5.0.503
2007.12.09
-
BitDefender
7.2
2007.12.09
-
CAT-QuickHeal
9.00
2007.12.08
-
ClamAV
0.91.2
2007.12.09
-
DrWeb
4.44.0.09170
2007.12.09
-
eSafe
7.0.15.0
2007.12.09
-
eTrust-Vet
31.3.5361
2007.12.08
-
Ewido
4.0
2007.12.09
-
FileAdvisor
1
2007.12.09
-
Fortinet
3.14.0.0
2007.12.09
-
F-Prot
4.4.2.54
2007.12.08
-
F-Secure
6.70.13030.0
2007.12.09
-
Ikarus
T3.1.1.12
2007.12.09
-
Kaspersky
7.0.0.125
2007.12.09
-
McAfee
5181
2007.12.08
-
Microsoft
1.3007
2007.12.09
-
NOD32v2
2711
2007.12.07
-
Norman
5.80.02
2007.12.07
-
Panda
9.0.0.4
2007.12.09
-
Prevx1
V2
2007.12.09
-
Rising
20.21.42.00
2007.12.07
-
Sophos
4.24.0
2007.12.09
-
Sunbelt
2.2.907.0
2007.12.07
-
Symantec
10
2007.12.09
-
TheHacker
6.2.9.153
2007.12.07
-
VBA32
3.12.2.5
2007.12.07
-
VirusBuster
4.3.26:9
2007.12.08
-
Webwasher-Gateway
6.6.2
2007.12.08
-
weitere Informationen
File size: 12 bytes
MD5: d1351cac6f004297ab842a013b3ae11b
SHA1: 37347d89879089d662f51f0961394b969e09b8d7
PEiD: -

Hatte einmal einen Vundo auf einem Rechner zu beseitigen. Was mir damals geholfen hatte war, die Trial-Version von Kaspersky aufzuspielen (kann man dort kostenlos herunter laden). Der hat dem Vundo den Garaus gemacht.
Die Versuche davor (Antivir,Spybot,a², zwei verschiedene Fix-Programme für Vundo) waren Schläge ins Wasser.

Grüße

Verzeichnis von C:\

09.12.2007 12:46 19.665 ComboFix.txt
09.12.2007 12:44 268 sqmdata05.sqm
09.12.2007 12:44 244 sqmnoopt05.sqm
09.12.2007 12:36 267.964.416 hiberfil.sys
09.12.2007 12:36 402.653.184 pagefile.sys
09.12.2007 02:01 268 sqmdata04.sqm
09.12.2007 02:01 244 sqmnoopt04.sqm
08.12.2007 21:29 268 sqmdata03.sqm
08.12.2007 21:29 244 sqmnoopt03.sqm
08.12.2007 02:26 268 sqmdata10.sqm
08.12.2007 02:26 244 sqmnoopt10.sqm
08.12.2007 00:50 268 sqmdata02.sqm
08.12.2007 00:50 244 sqmnoopt02.sqm
08.12.2007 00:32 232 sqmdata09.sqm
08.12.2007 00:32 268 sqmdata01.sqm
08.12.2007 00:32 244 sqmnoopt01.sqm
08.12.2007 00:32 244 sqmnoopt00.sqm
08.12.2007 00:26 339 VundoFix.txt
07.12.2007 21:35 268 sqmdata00.sqm
07.12.2007 21:35 244 sqmnoopt09.sqm
07.12.2007 10:33 268 sqmdata17.sqm
07.12.2007 10:33 244 sqmnoopt17.sqm
06.12.2007 22:25 268 sqmdata19.sqm
06.12.2007 22:25 244 sqmnoopt19.sqm
05.12.2007 11:57 268 sqmdata16.sqm
05.12.2007 11:57 244 sqmnoopt16.sqm
04.12.2007 12:33 268 sqmdata18.sqm
04.12.2007 12:33 244 sqmnoopt18.sqm
02.12.2007 11:07 268 sqmdata15.sqm
02.12.2007 11:07 244 sqmnoopt15.sqm
01.12.2007 19:33 268 sqmdata08.sqm
01.12.2007 19:33 244 sqmnoopt08.sqm
01.12.2007 11:45 268 sqmdata07.sqm
01.12.2007 11:45 244 sqmnoopt07.sqm
29.11.2007 16:08 268 sqmdata14.sqm
29.11.2007 16:08 244 sqmnoopt14.sqm
29.11.2007 00:34 268 sqmdata06.sqm
29.11.2007 00:34 244 sqmnoopt06.sqm
28.11.2007 13:04 268 sqmdata13.sqm
28.11.2007 13:04 244 sqmnoopt13.sqm
27.11.2007 12:18 268 sqmdata12.sqm
27.11.2007 12:18 244 sqmnoopt12.sqm
26.11.2007 11:32 268 sqmdata11.sqm
26.11.2007 11:32 244 sqmnoopt11.sqm
18.04.2007 21:31 0 logwmemory.bin
_______________________________________________________
Verzeichnis von C:\WINDOWS\system32

09.12.2007 16:05 6.144 Thumbs.db
08.12.2007 06:38 834.100 hlfxcshi.ini
08.12.2007 03:32 834.100 aspdwdvx.ini
08.12.2007 00:49 834.460 yulhbxcv.ini
07.12.2007 23:31 5.686 jupdate-1.6.0_03-b05.log
07.12.2007 22:36 12 a871a5c6
07.12.2007 22:34 834.340 cqovxpne.ini
07.12.2007 17:44 834.160 nmojfnie.ini
07.12.2007 17:43 834.100 bcydxsxj.ini
07.12.2007 16:42 834.460 wvrqiurw.ini
07.12.2007 15:38 834.400 askgsupn.ini
07.12.2007 14:38 834.340 grmvprcs.ini
07.12.2007 13:38 834.280 dvfhvbis.ini
07.12.2007 13:35 834.220 hpvkhxnn.ini
07.12.2007 12:35 833.164 bbeoncct.ini
07.12.2007 11:35 832.071 jhdldgkp.ini
07.12.2007 10:31 354 kryaxjhi.ini
07.12.2007 04:31 831.417 vdywvjqm.ini
07.12.2007 02:27 831.486 qjmbsufd.ini
07.12.2007 01:27 831.417 fnybghtf.ini
07.12.2007 00:24 832.437 skkododw.ini
06.12.2007 23:24 832.377 bharnlfj.ini
06.12.2007 22:21 816.620 ntieahhs.ini
06.12.2007 19:45 13.682 wpa.dbl
06.12.2007 17:12 808.248 cqcrdcad.ini
06.12.2007 16:12 808.188 lftcbafh.ini
06.12.2007 16:09 808.128 gjdkblba.ini
06.12.2007 15:09 808.068 nycxltiu.ini
06.12.2007 14:09 808.008 hxkellfi.ini
06.12.2007 14:06 807.948 pfttvcwv.ini
06.12.2007 13:07 807.888 rxhohgew.ini
06.12.2007 12:07 807.828 lwjgtrol.ini
06.12.2007 12:06 807.768 ouupwskb.ini
06.12.2007 11:04 807.708 muynmroh.ini
06.12.2007 10:03 807.648 jotuqwpo.ini
06.12.2007 09:04 807.588 wowdtinw.ini
06.12.2007 08:03 807.528 aartikqn.ini
06.12.2007 08:00 807.468 htfpugvx.ini
06.12.2007 05:58 807.828 bmolccpy.ini
06.12.2007 05:58 807.768 qpcwqidp.ini
06.12.2007 05:01 807.708 nrreorgi.ini
06.12.2007 03:56 807.648 tjahcyln.ini
06.12.2007 02:54 807.597 uaudvkul.ini
06.12.2007 01:49 807.528 climkqkj.ini
06.12.2007 01:47 807.468 yiyuyboc.ini
06.12.2007 00:20 808.437 qupjcfgt.ini
05.12.2007 23:38 808.368 hgotsfwn.ini
05.12.2007 22:38 808.308 bocwdgud.ini
05.12.2007 21:38 808.248 vaesseva.ini
05.12.2007 20:38 808.188 phhnkmhs.ini
05.12.2007 20:35 808.128 achusdoj.ini
05.12.2007 19:35 808.068 iplgouhp.ini
05.12.2007 19:35 808.008 cqtujyus.ini
05.12.2007 18:33 807.948 csgaisbi.ini
05.12.2007 17:29 807.888 dgqmtjfe.ini
05.12.2007 17:26 807.828 icgayrjc.ini
05.12.2007 16:59 807.768 ceprejij.ini
05.12.2007 15:56 807.708 eomehmfd.ini
05.12.2007 14:56 807.648 xdmgcyqw.ini
05.12.2007 13:56 807.588 bhynngdx.ini
05.12.2007 13:53 807.528 jdbdxado.ini
05.12.2007 12:53 806.301 kmtgceqg.ini
05.12.2007 07:23 668.992 achgaibj.ini
05.12.2007 06:20 294 autopdnk.ini
05.12.2007 05:18 805.501 vinvckqr.ini
05.12.2007 04:18 805.441 dsehneup.ini
05.12.2007 03:41 805.390 odajwuxy.ini
05.12.2007 03:15 805.321 dksqilbe.ini
05.12.2007 01:15 294 ifhddgob.tmp
05.12.2007 01:13 802.574 fiflmqna.ini
04.12.2007 23:12 802.514 svmnhnmk.ini
04.12.2007 23:12 802.454 ctdaufhb.tmp
04.12.2007 23:10 802.454 ctdaufhb.ini
04.12.2007 23:10 802.394 xrjuinuk.ini
04.12.2007 21:09 802.334 gworenqe.ini
04.12.2007 21:06 802.274 qaypwqiv.ini
04.12.2007 20:06 802.214 kkbsdbkc.ini
04.12.2007 20:06 802.154 gufqekwk.ini
04.12.2007 19:06 805.441 xuvsvkot.ini
04.12.2007 18:03 802.034 qnkniqse.ini
04.12.2007 17:03 801.974 kabjscud.ini
04.12.2007 03:55 793.980 sefqrhho.ini
04.12.2007 01:52 793.980 dldvqkxb.ini
04.12.2007 01:00 136.704 swsc.exe
04.12.2007 00:49 793.980 owqmswtj.ini
03.12.2007 23:42 794.040 xgonghws.ini
03.12.2007 22:41 793.980 vpsxapom.ini
03.12.2007 21:40 794.520 vlmxghrk.ini
03.12.2007 19:39 794.460 axypfatv.ini
03.12.2007 19:36 794.400 ymsqmxui.ini
03.12.2007 18:36 792.889 cagmokdk.ini
03.12.2007 17:36 792.829 gbkdcavw.ini
03.12.2007 16:36 792.720 hedwofoa.ini
03.12.2007 16:33 792.660 nlpylxwk.ini
03.12.2007 15:33 792.522 gwtrkuel.ini
03.12.2007 14:33 792.252 afjrwoei.ini
03.12.2007 14:30 294 rlyltohl.ini
03.12.2007 13:29 793.724 yvnvplcb.ini
27.11.2007 12:33 783.723 hdaasmfi.ini
26.11.2007 04:44 38.912 byxyxxv.dll.vir
05.11.2007 03:15 11.270 KGyGaAvL.sys
_____________________________________________________________
Verzeichnis von C:\WINDOWS

09.12.2007 12:42 274 system.ini
09.12.2007 12:42 1.142.265 WindowsUpdate.log
09.12.2007 12:36 157 wiadebug.log
09.12.2007 12:36 50 wiaservc.log
09.12.2007 12:36 0 0.log
09.12.2007 12:36 2.048 bootstat.dat
09.12.2007 11:19 0 vpd.properties
09.12.2007 10:45 1.395 IE4 Error Log.txt
08.12.2007 21:24 31.898 SchedLgU.Txt
08.12.2007 03:32 141.824 catchme.exe
08.12.2007 00:37 109.388 ntbtlog.txt
07.12.2007 15:05 131.399 setupapi.log
05.12.2007 04:59 116 NeroDigital.ini
05.12.2007 02:51 895 win.ini
02.12.2007 22:07 176.490 wmsetup.log
24.11.2007 20:48 1.472 DirectX.log
13.11.2007 03:57 54.156 QTFont.qfn
01.11.2007 02:31 119.178 ModemLog_Motorola USB Modem.txt
______________________________________________________________
Verzeichnis von C:\WINDOWS\Prefetch

09.12.2007 17:08 11.544 FIND.EXE-0EC32F1E.pf
09.12.2007 17:08 15.772 CMD.EXE-087B4001.pf
09.12.2007 16:54 14.968 NOTEPAD.EXE-336351A9.pf
09.12.2007 16:53 13.348 WINRAR.EXE-3588DFE8.pf
09.12.2007 16:04 43.780 SOFFICE.EXE-095A2CC8.pf
09.12.2007 16:01 103.056 IEXPLORE.EXE-2CA9778D.pf
09.12.2007 14:56 282.282 Layout.ini
09.12.2007 14:09 79.254 ICQLITE.EXE-2AEFACA7.pf
09.12.2007 13:57 22.870 TASKMGR.EXE-20256C55.pf
09.12.2007 12:45 40.168 WMIPRVSE.EXE-28F301A9.pf
09.12.2007 12:44 18.394 SWREG.CFEXE-2BF4FFCD.pf
09.12.2007 12:44 4.572 GREP.CFEXE-20443039.pf
09.12.2007 12:44 9.922 NIRCMD.CFEXE-19FF4781.pf
09.12.2007 12:43 14.140 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
09.12.2007 12:43 27.996 MSNMSGR.EXE-091111D0.pf
09.12.2007 12:43 27.454 YPAGER.EXE-1463065A.pf
09.12.2007 12:43 31.238 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
09.12.2007 12:43 20.324 CLIPINCTRAY.EXE-20425C9E.pf
09.12.2007 12:43 19.048 CTFMON.EXE-0E17969B.pf
09.12.2007 12:43 58.056 LIVEUPDATE.EXE-01A24801.pf
09.12.2007 12:43 26.014 REALSCHED.EXE-0A2A7558.pf
09.12.2007 12:43 59.892 AVGNT.EXE-36CA4640.pf
09.12.2007 12:42 19.338 IMAPI.EXE-0BF740A4.pf
09.12.2007 12:42 23.490 WUAUCLT.EXE-399A8E72.pf
09.12.2007 12:42 60.208 EXPLORER.EXE-082F38A9.pf
09.12.2007 12:42 15.936 USERINIT.EXE-30B18140.pf
09.12.2007 12:42 22.676 ATI2EVXX.EXE-19D16EB9.pf
09.12.2007 12:38 569.708 NTOSBOOT-B00DFAAD.pf
09.12.2007 11:18 59.048 MWSOEMON.EXE-22AAA5A1.pf
09.12.2007 10:34 38.516 SSMYPICS.SCR-01C62024.pf
09.12.2007 09:09 13.340 DUMPREP.EXE-1B46F901.pf
09.12.2007 04:24 78.160 SOL.EXE-1C0C14EB.pf
09.12.2007 02:00 31.610 YMSGR_TRAY.EXE-03863732.pf
09.12.2007 00:03 28.366 SWHELP~1.EXE-0DBE5375.pf
08.12.2007 21:20 58.514 HELPSVC.EXE-2878DDA2.pf
08.12.2007 20:32 40.348 UPDATE.EXE-13D57D76.pf
08.12.2007 20:32 14.966 PREUPD.EXE-358AA1C1.pf
07.12.2007 18:28 36.686 FREECELL.EXE-0CC25C3B.pf
38 Datei(en) 2.055.002 Bytes
0 Verzeichnis(se), 18.045.378.560 Bytes frei
_______________________________________________________________-
Verzeichnis von C:\WINDOWS\tasks

09.12.2007 12:36 6 SA.DAT
07.12.2007 21:22 390 Norton Security Scan.job
07.12.2007 17:15 394 1-Klick-Wartung.job
06.12.2007 07:59 276 AppleSoftwareUpdate.job
_______________________________________________________________
Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

09.12.2007 17:08 126.821 filelist.txt
09.12.2007 15:20 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22141.html
09.12.2007 15:18 32.768 ~DF8FE2.tmp
09.12.2007 15:18 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}32353.html
09.12.2007 14:09 16.384 ~DFB65B.tmp
09.12.2007 14:09 512 ~DFAC35.tmp
09.12.2007 14:09 16.384 ~DFAC23.tmp
09.12.2007 14:00 416 java_install_reg.log
09.12.2007 13:58 32.768 ~DF73B8.tmp
09.12.2007 13:57 797.676 IMT4.xml
09.12.2007 13:57 426 IMT3.xml
09.12.2007 13:57 2.036 IMT2.xml
09.12.2007 12:47 173 jusched.log
13 Datei(en) 1.028.325 Bytes
0 Verzeichnis(se), 18.045.362.176 Bytes frei
_____________________________________________________________
Verzeichnis von C:\WINDOWS\temp


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A871-B7E7
__________________________
Ich hab da nichts vergessen ...unter C:\WINDOWS\temp war nichts aufgelistet

Danke für deinen Tipp Streaming aber ich warte lieber erstmal ab was mein Retter in der Not(Nochdigger:D)- jetzt wo er die Infos von mir hat- meint.

Hallo

:omachst mich ja Gans verlegen:lach:
Kaspersky ist wohl eines der "besten" Antivirenprogramme aber auch hier leider machtlos er würde wohl garnicht alle (und das sind eine Menge) betroffenen Dateien finden, darum ist bei Vundo immernoch Handarbeit angesagt.

Lade dir bitte Avenger runter

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass Hijackthis nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei sowie nochmal den Inhalt des System32 Ordners (letzte 3 Monate) der Filelist.

MFG

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

:confused::confused::confused:

Soll ich den Rest trotzdem abarbeiten?

Hallo

Avenger will nicht dann versuchen wir es mal mit OTMoveit
Lade dir das Programm von hier --> http://download.bleepingcomputer.com...r/OTMoveIt.exe

* Starte OTMoveIt.exe mit einem doppelklick.
* Kopiere alle Dateien aus dieser Box (markiere alle Dateien dann drücke STRG C):

http://cybertrash.pl/images/tata/OTMoveIt/1.gif
* Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'.
* Klick auf den roten Moveit! button.
* Kopiere nun alles aus dem Results Fenster ab und füge den Inhalt in deinen Beitrag ein (STRG V).
* Beende OTMoveIt und berichte, dann sehen wir weiter

erst wenn wir die vermaledeiten Dateien gelöscht haben.

MFG

C:\WINDOWS\system32\hlfxcshi.ini moved successfully.
C:\WINDOWS\system32\aspdwdvx.ini moved successfully.
C:\WINDOWS\system32\yulhbxcv.ini moved successfully.
C:\WINDOWS\system32\cqovxpne.ini moved successfully.
C:\WINDOWS\system32\nmojfnie.ini moved successfully.
C:\WINDOWS\system32\bcydxsxj.ini moved successfully.
C:\WINDOWS\system32\wvrqiurw.ini moved successfully.
C:\WINDOWS\system32\askgsupn.ini moved successfully.
C:\WINDOWS\system32\grmvprcs.ini moved successfully.
C:\WINDOWS\system32\dvfhvbis.ini moved successfully.
C:\WINDOWS\system32\hpvkhxnn.ini moved successfully.
C:\WINDOWS\system32\bbeoncct.ini moved successfully.
C:\WINDOWS\system32\jhdldgkp.ini moved successfully.
C:\WINDOWS\system32\kryaxjhi.ini moved successfully.
C:\WINDOWS\system32\vdywvjqm.ini moved successfully.
C:\WINDOWS\system32\qjmbsufd.ini moved successfully.
C:\WINDOWS\system32\fnybghtf.ini moved successfully.
C:\WINDOWS\system32\skkododw.ini moved successfully.
C:\WINDOWS\system32\bharnlfj.ini moved successfully.
C:\WINDOWS\system32\ntieahhs.ini moved successfully.
C:\WINDOWS\system32\cqcrdcad.ini moved successfully.
C:\WINDOWS\system32\lftcbafh.ini moved successfully.
C:\WINDOWS\system32\gjdkblba.ini moved successfully.
C:\WINDOWS\system32\nycxltiu.ini moved successfully.
C:\WINDOWS\system32\hxkellfi.ini moved successfully.
C:\WINDOWS\system32\pfttvcwv.ini moved successfully.
C:\WINDOWS\system32\rxhohgew.ini moved successfully.
C:\WINDOWS\system32\lwjgtrol.ini moved successfully.
C:\WINDOWS\system32\ouupwskb.ini moved successfully.
C:\WINDOWS\system32\muynmroh.ini moved successfully.
C:\WINDOWS\system32\jotuqwpo.ini moved successfully.
C:\WINDOWS\system32\wowdtinw.ini moved successfully.
C:\WINDOWS\system32\aartikqn.ini moved successfully.
C:\WINDOWS\system32\htfpugvx.ini moved successfully.
C:\WINDOWS\system32\bmolccpy.ini moved successfully.
C:\WINDOWS\system32\qpcwqidp.ini moved successfully.
C:\WINDOWS\system32\nrreorgi.ini moved successfully.
C:\WINDOWS\system32\tjahcyln.ini moved successfully.
C:\WINDOWS\system32\uaudvkul.ini moved successfully.
C:\WINDOWS\system32\climkqkj.ini moved successfully.
C:\WINDOWS\system32\yiyuyboc.ini moved successfully.
C:\WINDOWS\system32\qupjcfgt.ini moved successfully.
C:\WINDOWS\system32\hgotsfwn.ini moved successfully.
C:\WINDOWS\system32\bocwdgud.ini moved successfully.
C:\WINDOWS\system32\vaesseva.ini moved successfully.
C:\WINDOWS\system32\phhnkmhs.ini moved successfully.
C:\WINDOWS\system32\achusdoj.ini moved successfully.
C:\WINDOWS\system32\iplgouhp.ini moved successfully.
C:\WINDOWS\system32\cqtujyus.ini moved successfully.
C:\WINDOWS\system32\csgaisbi.ini moved successfully.
C:\WINDOWS\system32\dgqmtjfe.ini moved successfully.
C:\WINDOWS\system32\icgayrjc.ini moved successfully.
C:\WINDOWS\system32\ceprejij.ini moved successfully.
C:\WINDOWS\system32\eomehmfd.ini moved successfully.
C:\WINDOWS\system32\xdmgcyqw.ini moved successfully.
C:\WINDOWS\system32\bhynngdx.ini moved successfully.
C:\WINDOWS\system32\jdbdxado.ini moved successfully.
C:\WINDOWS\system32\kmtgceqg.ini moved successfully.
C:\WINDOWS\system32\achgaibj.ini moved successfully.
C:\WINDOWS\system32\autopdnk.ini moved successfully.
C:\WINDOWS\system32\vinvckqr.ini moved successfully.
C:\WINDOWS\system32\dsehneup.ini moved successfully.
C:\WINDOWS\system32\odajwuxy.ini moved successfully.
C:\WINDOWS\system32\dksqilbe.ini moved successfully.
C:\WINDOWS\system32\ifhddgob.tmp moved successfully.
C:\WINDOWS\system32\fiflmqna.ini moved successfully.
C:\WINDOWS\system32\svmnhnmk.ini moved successfully.
C:\WINDOWS\system32\ctdaufhb.tmp moved successfully.
C:\WINDOWS\system32\ctdaufhb.ini moved successfully.
C:\WINDOWS\system32\xrjuinuk.ini moved successfully.
C:\WINDOWS\system32\gworenqe.ini moved successfully.
C:\WINDOWS\system32\qaypwqiv.ini moved successfully.
C:\WINDOWS\system32\kkbsdbkc.ini moved successfully.
C:\WINDOWS\system32\gufqekwk.ini moved successfully.
C:\WINDOWS\system32\xuvsvkot.ini moved successfully.
C:\WINDOWS\system32\qnkniqse.ini moved successfully.
C:\WINDOWS\system32\kabjscud.ini moved successfully.
C:\WINDOWS\system32\sefqrhho.ini moved successfully.
C:\WINDOWS\system32\dldvqkxb.ini moved successfully.
C:\WINDOWS\system32\owqmswtj.ini moved successfully.
C:\WINDOWS\system32\xgonghws.ini moved successfully.
C:\WINDOWS\system32\vpsxapom.ini moved successfully.
C:\WINDOWS\system32\vlmxghrk.ini moved successfully.
C:\WINDOWS\system32\axypfatv.ini moved successfully.
C:\WINDOWS\system32\ymsqmxui.ini moved successfully.
C:\WINDOWS\system32\cagmokdk.ini moved successfully.
C:\WINDOWS\system32\gbkdcavw.ini moved successfully.
C:\WINDOWS\system32\hedwofoa.ini moved successfully.
C:\WINDOWS\system32\nlpylxwk.ini moved successfully.
C:\WINDOWS\system32\gwtrkuel.ini moved successfully.
C:\WINDOWS\system32\afjrwoei.ini moved successfully.
C:\WINDOWS\system32\rlyltohl.ini moved successfully.
C:\WINDOWS\system32\yvnvplcb.ini moved successfully.
C:\WINDOWS\system32\hdaasmfi.ini moved successfully.
C:\WINDOWS\system32\byxyxxv.dll.vir moved successfully.

Created on 12.11.2007 06:25:54

Hallo

Ok OTMoveit hats wohl gewuppt, aber da gucken wir nochmal nach.

Erstelle bitte ein neues Hijackthis Log und lass Combofix nochmal laufen.
Ebenso zeig uns nochmal den neuen Inhalt des System32 Ordners der letzten 2 Monate.

MFG

Logfile of HijackThis v1.99.1
Scan saved at 21:47:05, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
J:\Tobit ClipInc\Server\ClipInc-Server.exe
J:\Tobit ClipInc\Server\ClipInc-Server.exe
J:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LiveUpdate\LiveUpdate.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 2 für This.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
R3 - URLSearchHook: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B7F7A9D-0B21-455B-B6F6-5537A01B76D6} - C:\WINDOWS\system32\msi32.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ClipIncSrvTray] "J:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programme\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [PC SpeedScan Pro] C:\Dokumente und Einstellungen\User\Desktop\einfach ma n ordner\PCSpeedScan.exe -m
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm799YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - C:\Programme\Opanda\IExif 1.8\IExifCom.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {ABB660B6-6694-407B-950A-EDBA5A159722} (DVCDownloadControl) - http://webgames.d.tmsrv.com/c=85cbc5bd0eab51aa1bb7155203abd389/aff=t_06po_wg/p/release/sonypictures/wg_davincicode/davincicode/DVCDownloadControl.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://media.grab.com/media/fbd793/games/files/209/SproutLauncher.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03116015-647F-4989-AC22-B16B5FED26D1}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{03116015-647F-4989-AC22-B16B5FED26D1}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - J:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

ComboFix 07-12-09.1 - User 2007-12-11 21:49:37.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-11 bis 2007-12-11 ))))))))))))))))))))))))))))))
.

2007-12-09 10:50 . 2007-12-09 10:54 <DIR> d-------- C:\HiJackThis
2007-12-07 22:36 . 2007-12-07 22:36 12 --a------ C:\WINDOWS\system32\a871a5c6
2007-12-07 02:42 . 2007-06-20 14:47 143,360 --a------ C:\WINDOWS\system32\ConTest.dll
2007-12-07 02:42 . 2003-04-22 15:41 36,864 --a------ C:\WINDOWS\system32\ascbalon.dll
2007-12-07 02:42 . 2007-02-13 11:05 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2007-11-24 20:48 . 2007-11-24 20:48 <DIR> d-------- C:\Programme\directx
2007-11-16 15:12 . 2007-12-07 22:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-09 15:52 --------- d-----w C:\Programme\StarOffice7
2007-12-09 10:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-07 22:31 --------- d-----w C:\Programme\Java
2007-12-07 14:00 --------- d-----w C:\Programme\Norton Security Scan
2007-11-16 16:17 --------- d-----w C:\Programme\PokerStars.NET
2007-11-11 01:41 --------- d-----w C:\Programme\PokerOffice
2007-11-06 01:52 --------- d-----w C:\Programme\PartyGaming
2007-11-05 02:15 11,270 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-22 07:43 --------- d-----w C:\Programme\DATA BECKER
2007-10-22 04:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-10-22 04:05 --------- d-----w C:\Programme\Antivir
2007-10-22 03:23 --------- d-----w C:\Programme\UNNÜTZE
2007-10-20 03:48 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Tobit
2007-10-20 03:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Tobit
2007-01-04 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\User\mqdmmdm.sys
2007-01-04 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\User\mqdmmdfl.sys
2007-01-04 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\User\mqdmserd.sys
2007-01-04 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\User\mqdmbus.sys
2007-01-04 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\User\mqdmcmnt.sys
2007-01-04 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\User\mqdmwhnt.sys
2007-01-04 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\User\mqdmcr.sys
2007-01-04 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\User\usbsermptxp.sys
2007-01-04 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\User\usbsermpt.sys
2005-05-11 14:30 774,144 ----a-w C:\Programme\RngInterstitial.dll
2005-03-23 11:28 284 ----a-w C:\Dokumente und Einstellungen\User\Anwendungsdaten\ViewerApp.dat
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1B7F7A9D-0B21-455B-B6F6-5537A01B76D6}]
2006-01-28 02:53 25704 --a------ C:\WINDOWS\system32\msi32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"BTCLiveUpdate"="C:\Programme\LiveUpdate\LiveUpdate.exe" [2004-03-08 12:50]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [2004-08-06 15:33]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-06-16 13:38]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 15:37]
"Performance Center"="C:\Programme\Ascentive\Performance Center\APCMain.exe" []
"PC SpeedScan Pro"="C:\Dokumente und Einstellungen\User\Desktop\einfach ma n ordner\PCSpeedScan.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSDrvCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-08-28 09:47]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 18:58]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 09:36]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-24 12:27]
"POEngine"="" []
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-18 18:43]
"ClipIncSrvTray"="J:\Tobit ClipInc\Player\ClipIncTray.exe" [2007-10-24 15:05]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^StarOffice 7.lnk]
backup=C:\WINDOWS\pss\StarOffice 7.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-08-03 21:10 339968 --a------ C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
2002-07-12 11:15 106496 --a------ C:\WINDOWS\SiSUSBrg.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"=C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LVCOMS"=C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R2 ClipInc001;ClipInc 001;J:\Tobit ClipInc\Server\ClipInc-Server.exe 001
R2 ClipInc002;ClipInc 002;J:\Tobit ClipInc\Server\ClipInc-Server.exe 002
R2 ClipInc003;ClipInc 003;J:\Tobit ClipInc\Server\ClipInc-Server.exe 003
S3 C-Dilla;C-Dilla;\??\C:\WINDOWS\system32\drivers\CDANT.SYS
S3 CxUSB;Logitech QuickCam VC USB;C:\WINDOWS\system32\DRIVERS\CxUSB.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\RunGame.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-07 16:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2007-12-06 06:59:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 20:22:59 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\DOKUME~1\User\LOKALE~1\Temp\krfgehsnEC18160.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 21:56:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-11 21:58:48
C:\ComboFix2.txt ... 2007-12-09 12:46
.
--- E O F ---

____________________________________________________________

Verzeichnis von C:\WINDOWS\system32

09.12.2007 16:05 6.144 Thumbs.db
07.12.2007 23:31 5.686 jupdate-1.6.0_03-b05.log
07.12.2007 22:36 12 a871a5c6
06.12.2007 19:45 13.682 wpa.dbl
04.12.2007 01:00 136.704 swsc.exe
05.11.2007 03:15 11.270 KGyGaAvL.sys
28.10.2007 12:19 52.764 perfc009.dat
28.10.2007 12:19 380.350 perfh009.dat
28.10.2007 12:19 391.000 perfh007.dat
28.10.2007 12:19 63.580 perfc007.dat
28.10.2007 12:19 897.954 PerfStringBackup.INI
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
11.09.2007 03:26 5.214 jupdate-1.6.0_02-b06.log

Hallo

lösche mit OTMoveit bitte diese Datei
gehe dazu vor wie gehabt.

Dann überprüfe dein System mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
* Speichere das Programm unter C:\
* Scanne dein System mit Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden und sieht etwa so aus --> fsbl-20071208024718.)

Anschließend führe bitte einen eScan durch nach dieser Anleitung
http://www.trojaner-board.de/42731-escan-anleitung.html
poste das Ergebnis mittels der Find.bat (rechtsklick --> ziel speichern unter)


MFG

C:\WINDOWS\system32\msi32.dll NOT unregistered.
C:\WINDOWS\system32\msi32.dll moved successfully.

Created on 12.13.2007 10:26:43
____________________________________________________________________________
Zwischendurch möcht ich mich auch erstmal für die schnelle und ausfürliche Hilfe bedanke.
Danke, Danke, Danke!
____________________________________________________________________________
12/13/07 10:31:14 [Info]: BlackLight Engine 1.0.67 initialized
12/13/07 10:31:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/07 10:31:14 [Note]: 7019 4
12/13/07 10:31:14 [Note]: 7005 0
12/13/07 10:31:28 [Note]: 7006 0
12/13/07 10:31:28 [Note]: 7011 2096
12/13/07 10:31:29 [Note]: 7026 0
12/13/07 10:31:29 [Note]: 7026 0
12/13/07 10:31:38 [Note]: FSRAW library version 1.7.1024
12/13/07 11:05:37 [Note]: 7007 0

Ich hab ihn grade gekillt.
Wies effektiv geht steht hier.
http://www.administrator.de/Vundo_-_Virtumundo_-_Trojaner_-_geeby.dll_l%C3%B6schen.html
Grüße

Danke für den Tipp bassniac,
aber ich denke es is besser wenn ich jetzt nicht zwischendurch einfach noch einen Weg ausprobiere (sonst steigt da keiner mehr durch... ich tus jetzt schon nimmer :lach: aber nochdigger weiß ja was er tut)

der eScan war ja mal anstrengend ^^ aber ich hoffe ich hab alles richtig gemacht.....
achsoo und ***= Name oder sonstige persönliche Daten(wir wolln ja keine rote karte kriegen ;) )


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/13/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "winfixer/errorsafe Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({647b8364-79e0-48e2-a4ca-233abada0c2d})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({f63e3b76-f82f-46eb-851c-8c0a221686bb})! Action taken: Keine Aktion vorgenommen.
System found infected with funwebproducts Spyware/Adware ({1d4db7d2-6ec9-47a3-bd87-1e41684e07bb})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({06170642-fa65-4fb6-ac79-5f235cb99bc2})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({489b338e-e4ab-489a-91d4-69970a541cf9})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({5eed48aa-f20f-4085-b8f8-57724b7c5b08})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({7f4e63c9-f30c-4424-9baf-b6896f5f56c4})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({94dbdb63-5f05-4c51-8b14-de0ca12ef4ca})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({ae4026cc-b7ba-48e8-8fb3-2c35099670a1})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({b0f4bc0f-eaea-43b5-8ce6-dad3cc9b29a2})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({c7efdcde-a181-41d0-a551-16f73b398040})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware ({f5ac8b35-5b15-4e8f-8046-43858973b495})! Action taken: Keine Aktion vorgenommen.
System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with system soap pro Spyware/Adware (pbsetup.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\qoobox\Quarantine\C\WINDOWS\system32\byxywtt.dll.vir infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\qoobox\Quarantine\C\WINDOWS\system32\cbxutqq.dll.vir infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177088.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177089.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177204.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177205.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\_OTMoveIt\MovedFiles\WINDOWS\system32\byxyxxv.dll.vir infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\DOWNLO~1\POPCAP~1.DLL markiert als "not-a-virus:Downloader.Win32.PopCap.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\AlohaSolitaireSetup-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\FamilyFeudSetup-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\Monopoly3-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\Piposh-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\PizzaFrenzySetup-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\RollerCoasterTycoon2-dm[1].exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Dokumente und Einstellungen\User\Anwendungsdaten\setup_de[1].exe.vir markiert als "not-a-virus:Downloader.Win32.WinFixer.br". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch.an". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch.q". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\qoobox\Quarantine\C\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL.vir markiert als "not-a-virus:AdTool.Win32.MyWebSearch.ai". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177084.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.br". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177169.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177171.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.an". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177172.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177173.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.q". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177174.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177175.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.ai". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{E17D6DE6-A522-422E-AF53-01FE5B9DAEDA}\RP909\A0177261.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.an". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\popcaploader.dll markiert als "not-a-virus:Downloader.Win32.PopCap.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\_OTMoveIt\MovedFiles\WINDOWS\system32\msi32.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File K:\***\IncommingJen.Sch.zip/ComputerSchock.exe markiert als "not-virus:Hoax.Win32.ComputerSchock". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File K:\***\SinglesMSetup-dm.exe markiert als "not-a-virus:AdWare.Win32.Trymedia.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\DOWNLO~1\popcaploader.dll
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\User\Desktop\dies und das\pbsetup.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\User\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCU\Software\error safe free !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCR\esspchck.esspchck !!!
Offending Key found: HKCR\esspchck.esspchck.1 !!!
Offending Key found: HKCR\flfxr15.flfixer15 !!!
Offending Key found: HKCR\fwraper.ffenginwraper !!!
Offending Key found: HKCR\fwraper.ffenginwraper.1 !!!
Offending Key found: HKCR\fxcore.mmfixcore !!!
Offending Key found: HKCR\fxcore.mmfixcore.1 !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\mmfxctrl.cofixengine !!!
Offending Key found: HKCR\mmfxctrl.cofixengine.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in M\Name\Shell\AutoRun\command: M:\RunGame.exe
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\zylom\mahjongescape\de-DE\mahjongescape.1.0.1.de-DE.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Downloads\Piposh.exe.partial nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Downloads\PizzaFrenzySetup.exe.partial nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\LOGITEMP\401comupd.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 167073
Gefundene Viren: 67
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 84
Dauer des Scans bisher: 02:43:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:48:47,10
Batchende: 15:49:14,32

Hallo

Danke auch an dich für das Vertrauen, Eigeninitiative ist eine schöne Sache, kann aber, wenn die Schritte ungenannt bleiben, zu sehr viel Verwirrung führen.

Sieht gut aus...

Wieso hast schon erste Erfahrungen gemacht:D?


So zurück zum Thema,
deaktiviere die bitte Systemwiederherstellung.

Lösche bitte den Inhalt dieser Ordner
C:\qoobox\Quarantine
C:\_OTMoveIt\MovedFiles

Lösche bitte diese Dateien
C:\WINDOWS\DOWNLO~1\popcaploader.dll <-- vermutlich in C:\WINDOWS\Downloaded Program Files
C:\Downloads\AlohaSolitaireSetup-dm[1].exe
C:\Downloads\FamilyFeudSetup-dm[1].exe
C:\Downloads\Monopoly3-dm[1].exe
C:\Downloads\Piposh-dm[1].exe
C:\Downloads\PizzaFrenzySetup-dm[1].exe
C:\Downloads\RollerCoasterTycoon2-dm[1].exe
K:\***\IncommingJen.Sch.zip/ComputerSchock.exe <-- möglich?
K:\***\SinglesMSetup-dm.exe <-- möglich?

anschließend lade dir den Ccleaner
CCleaner Download
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Fahre deinen Rechner bitte runter und lass ihn für ca. 2 min aus, anschließend kann der Rechner neu gestartet und die Systemwiederherstellung wieder aktiviert werden.

Erstelle und poste ein frisches Hijackthis Log, erstelle aber bitte vorher einen eigenen Ordner z.B. C:\Hijackthis, dorthinein entpackst du bitte die Hijackthis.exe welche du anschließend bitte in z.B. ABC.exe umbenennst und dann das Log erstellst.

Berichte bitte ob es noch Probleme gibt.

MFG

Hallo Nochdigger,
Piggedy hat mich gebeten dir zu sagen, dass sie leider erst wieder ab dem 4.1.08 an ihren Computer kann.
Sie hatte einen Unfall (ihr gehts gut!) und ist direkt aus dem Krankenhaus zu ihrer Familie gefahren.

Sie lässt dir frohe Weihnachten und einen guten Rutsch ins neue Jahr ausrichten.

Von mir natürlich auch schöne Feiertage
Mfg...PiggedysFriend =)

Hallo

Ich bin hier:D

Schön zu hören, dass es ihr "gut" geht

Das wünsche ich Euch auch:party:
Vielen Dank für die Rückmeldung, PiggedysFriend

Den Beitrag bei bedarf dann einfach Pushen;)

MFG

hallo, mir geht es ähnlich. habe nicht so frosse ahnung mit diesen ganzen Hijack-This Anwendungen etc. Seit Tagen plagt mich der TR Vundo.Gen und der Dldr. Conhook.Gen und langsam verzweifle ich. Habe schon Spybot, Hijackthis und alle möglichen anderen Programme drüberlaufen lassen aber es hilft nichts. Kann mir jemand helfen? Angeblich soll ja das "Avenger" so gut sein, aber damit kenne ich mich überhaupt nicht aus...

Antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 21. Dezember 2007 10:50

Es wird nach 983146 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Michaela Schein
Computername: ACER-B086CFC411

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 08.09.2007 14:55:46
AVSCAN.DLL : 7.0.6.0 57384 Bytes 08.09.2007 14:55:46
LUKE.DLL : 7.0.5.3 147496 Bytes 08.09.2007 14:55:46
LUKERES.DLL : 7.0.6.0 10792 Bytes 08.09.2007 14:55:46
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 22:50:36
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 09:22:52
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 09:22:52
ANTIVIR3.VDF : 7.0.1.131 145408 Bytes 20.12.2007 14:10:00
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 20.12.2007 14:10:00
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 00:16:56
AVPREF.DLL : 7.0.2.2 25640 Bytes 08.09.2007 14:55:46
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 00:16:58
AVPACK32.DLL : 7.6.0.2 360488 Bytes 20.12.2007 14:10:00
AVREG.DLL : 7.0.1.6 30760 Bytes 08.09.2007 14:55:46
AVARKT.DLL : 1.0.0.20 278568 Bytes 08.09.2007 14:55:42
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 08.09.2007 14:55:42
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 00:16:58
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 08.09.2007 14:55:38
RCTEXT.DLL : 7.0.62.0 90152 Bytes 08.09.2007 14:55:38
SQLITE3.DLL : 3.3.17.1 339968 Bytes 08.09.2007 14:55:46

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Freitag, 21. Dezember 2007 10:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\opnllih.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\opnllih.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen

Die Registry wurde durchsucht ( '23' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\opnllih.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Dokumente und Einstellungen\Michaela Schein\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1QQHTSUC\css4[1]
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47de9640.qua' verschoben!
C:\Programme\Trend Micro\HijackThis\backups\backup-20071220-230249-443.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47cea542.qua' verschoben!
C:\Programme\Trend Micro\HijackThis\backups\backup-20071220-232559-808.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '466ef7f3.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP227\A0068835.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DRT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479ba660.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP227\A0068857.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479ba661.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP227\A0068859.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DRT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479ba662.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP227\A0068861.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DRT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463187e3.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP236\A0070217.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479ba6ab.qua' verschoben!
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP236\A0070218.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4631872c.qua' verschoben!
C:\VundoFix Backups\mllmn.dll.bad
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d7a6ef.qua' verschoben!
C:\VundoFix Backups\opnllih.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d9a6f4.qua' verschoben!
C:\VundoFix Backups\pibgjyvn.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.DRT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47cda6ed.qua' verschoben!
C:\VundoFix Backups\wtfltfhu.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.DRT
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d1a6f9.qua' verschoben!
C:\VundoFix Backups\vturp.dll.bad
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e0a6f9.qua' verschoben!
Beginne mit der Suche in 'D:\' <ACERDATA>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 21. Dezember 2007 13:32
Benötigte Zeit: 2:42:49 min

Der Suchlauf wurde vollständig durchgeführt.

15542 Verzeichnisse wurden überprüft
919989 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
14 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
919973 Dateien ohne Befall
11938 Archive wurden durchsucht
3 Warnungen
0 Hinweise



Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:21:03, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\pruefung\pruefubng.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6DFA1B99-85ED-45D6-9EEF-DBB156BDE225} - C:\WINDOWS\system32\vturp.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {94204837-0871-4E6A-A426-7F75B1B731F0} - C:\WINDOWS\system32\opnllih.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E7E09F2E-118C-4EE4-B832-D9FE3C302C6D} - C:\WINDOWS\system32\jkkjj.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de.yahoo.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: opnllih - C:\WINDOWS\SYSTEM32\opnllih.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Programme\Apache Software Foundation\Tomcat 5.5.17\bin\tomcat5.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 9203 bytes



bitte um Hilfe! danke!