TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21
 

Hallo,
ich hab bei den letzten scans die beiden oben genannten viren gefunden und hab auch einiges hier ausm board versucht z.b. vundofix, da die viren unter anderem in den dateien awttqon.dll und vtsqn.dll auftauchten. vundofix konnte alle sachen löschen bis auf awttqon.dll. hab danach noch ma antivir durchlaufen lassen der hat aber nichts mehr gefunden und in den backup ordner von vundofix steht die awttqon.dll auch drin... Nun frage ich mich ob der virus entgültig weg ist oder sich doch noch iwo versteckt, da im security task manager immer noch die prozesse angezeigt und als 92% gefährlich ausgewiesen werden... Außerdem kam grad noch eine Meldung von Antivir, dasser schon wieder TR/Drop.Agent.dgo.21 (21 ist neu) in der datei vtsqn.dll gefunden hat...
was kann ich tun?

Mein Hijackthis-log:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\programme\Security Task Manager\TaskMan.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {F0F74555-5C19-4591-9716-CC967C88ED3D} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

das is das ergebnis von virustotal aber kp wo der HASH Steht und die datei vtsqn.exe habe ich nur nur die vtsqn.dll die habe ich hochgeladen anstatt der exe...:

Datei vtsqn.dll empfangen 2008.01.06 17:20:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -
weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.46 2008.01.06 -
Authentium 4.93.8 2008.01.05 -
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.06 Generic9.AKAR
BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH
CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.06 -
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD
Ewido 4.0 2008.01.06 -
FileAdvisor 1 2008.01.06 -
Fortinet 3.14.0.0 2008.01.06 -
F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.05 -
Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A
NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.01.04 Vundo.AL
Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde
Prevx1 V2 2008.01.06 Trojan.Vundo
Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg
Sophos 4.24.0 2008.01.06 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.06 Trojan.Vundo
TheHacker 6.2.9.181 2008.01.05 -
VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih
VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.06 -

weitere Informationen
File size: 344576 bytes
MD5: 0466723e693c1f8ec118e13ff1bc3498
SHA1: cdb5d62830edef3728a06f3d9606dc082467f212
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7


hyjackthis und vundofix hatte ich ja wie bereits geschrieben schon vorher durchgeführt gehabt, soll ich das noch ma machen?

Nein, poste nun noch mal ein Hijacklog, ich muss sehen was vundofix alles gelöscht hat, dann geht es weiter. ;)

awttqon.dll.bat,fccyaxw.dll.bat,nqstv.ini2.bad,nqstv.ini.bad,vtsqn.dll.bad stand im vundofix backups ordner ich hab jetzt grad noch ma durchlaufen lassen und er fand wieder die gleichen dateien... so und dann noch mehrer komische sachen als ich auf remove vundo geklickt hab kam error pfad irgendne zahl net gefunden und dann konnte er die dateien net löschen wollte neustarten und dann erneut versuchen hab ich auch gemacht und dann kam wieder das vundofix fenster aber keine dateien zum löschen mehr drin gewesen... so dann hat sich vundofix geschlossen und antivir hat sich gemeldet dasses nen trojaner inner vtsqn.exe gefunden hab, ich bin auf delete gegangen aber dann stand da das diese datei nicht gefunden werden konnte?!? iwas läuft da ziemlich falsch... als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc.
hier noch ma nen hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 17:52:42, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll
O2 - BHO: (no name) - {C0F1A38B-820F-4B8A-8446-F71DF88750DA} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

komische sachen... hoffe du kannst mir weiterhelfen danke schon ma im voraus

immer ruhig bleiben:

Zunächst bitte folgendes:


Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.



MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Da kümmern wir uns gleich drum.. ;)

Außerdem noch mal ein neues Hijacklog, ich muss sehen was alles entfernt wurde!

also das is die avenger.txt:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nrfqnree

*******************

Script file located at: \??\C:\Program Files\dfygxpgc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\vtsqn.exe not found!
Deletion of file C:\WINDOWS\system32\vtsqn.exe failed!

Could not process line:
C:\WINDOWS\system32\vtsqn.exe
Status: 0xc0000034

File C:\WINDOWS\system32\awttqon.dll deleted successfully.
File C:\WINDOWS\system32\vtsqn.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danach hab ich neugestartet und antivir hat wieder den TR/Drop.Agent.dgo.8 gefunde aber diesmal auch in TMP dateien mit zahlen... danach kam wieder die meldung das vtsqn.exe net gefunden werden konnte...

bin jetzt schon knapp ne halbe stunde mit escan am suchen hat schon 50 viren und 67 fehler gefunden:o allerdings kam auch die meldung das ich zum entfernen escan kaufen muss... sobalds fertig ist poste ich das ergebnis

Poste als erstes das Ergebnis von eScan, erst dann machen wir weiter.

Obwohl, das hier kannst du schon machen, damit nach dem Neustart keine Meldung mehr kommt das eine Datei fehlt:


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)


http://virus-protect.org/artikel/bilder/bobby.gif

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ergebnis von escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/6/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\CTFMON.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\programme\powerdvd\PDVDServ.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\DOCUME~1\Jonny\LOCALS~1\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup.zip/avenger/awttqon.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Documents and Settings\Jonny\Local Settings\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\Documents and Settings\Jonny\Local Settings\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Downloads\mirc631.exe//stream//data0001//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei E:\Programme\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOCUME~1\Jonny\LOCALS~1\Temp\war3_install.exe
Offending file found: C:\Documents and Settings\Jonny\Desktop\exen\load!0.47.1\load.exe
Offending file found: E:\cs-lan\valve\sound\vox\found.wav
Offending file found: E:\cslan\valve\sound\vox\found.wav
Offending file found: E:\steam\support.url
Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\nerodemo12547\toolbar.exe
Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\war3_install.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Program Files\powerstrip
Offending Folder found: C:\Documents and Settings\Jonny\Application Data\icq\bart\1024
Offending Folder found: E:\downloads\244690023 jan h\aoe ii\data\load
Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\programs\powerstrip
Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\Programs\powerstrip
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\powerstrip !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\powerstrip !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\mui\FALLBACK\0407\cicap.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\mui\FALLBACK\0407\sk98xwin.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 123276
Gefundene Viren: 64
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 110
Dauer des Scans bisher: 01:19:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:55:17,98
Batchende: 19:55:32,01




und registrysearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.01.2008 19:16:28 for strings:
; 'vtsqn.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
"command"="C:\\WINDOWS\\system32\\vtsqn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="vtsqn.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\vtsqn.exe"="vtsqn"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINDOWS\\system32\\vtsqn.exe"

; End Of The Log...

und dann noch ma hjt-log:
Logfile of HijackThis v1.99.1
Scan saved at 19:57:18, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing)
O2 - BHO: (no name) - {DC25336A-3C4B-4B7E-8A79-014F6421B072} - C:\WINDOWS\system32\vtsqn.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


kann ich wieder ausm abgesicherten rausgehen?

Wann hast du das Hijacklog erstellt? Noch im abgesicherten Modus nach dem eScan?

Ich bin gleich offline, wir machen morgen Nachmittag hier weiter. ;)

Sunny

ja hab ich bin immer noch im abgesicherten modus

willst du noch einen hijack-log ausm normalen?
Logfile of HijackThis v1.99.1
Scan saved at 20:28:45, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Documents and Settings\***\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {69787C77-F6C1-4FFB-922B-720BED612054} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing)
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mitlerweile gibt mir antivir dauerhaft virusmelden von der vtsqn.dll und TR/Vundo.DVD, wär schön wenn du mir bald weiter helfen könntest oder irgendein anderer....

Ich glaube, du hast da einen Backdoor am laufen. Überprüfe mal die Datei
C:\WINDOWS\system32\vtsqn.exe bei VirusTotal
Achte darauf, dass du alles siehst. Also auch die versteckten und Systemdateien.
Wenn es das ist was ich vermute, wirst du um ein Neu aufsetzen nicht herumkommen.

Da ich jetzt die ständigen meldungen von antivir ignoriert hab, hatte ich sogar ma ne vtsqn.exe und net nur die .dll ( nehme an das die sonst von antivir gelöscht wurde und das auch wirksam zumindest für kurze zeit... )
hier das ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.7.11 2008.01.07 Dropper/Agent.348160.B
AntiVir 7.6.0.46 2008.01.07 TR/Drop.Agent.dgo.21
Authentium 4.93.8 2008.01.06 W32/Virtumonde.OQ
Avast 4.7.1098.0 2008.01.06 Win32:TratBHO
AVG 7.5.0.516 2008.01.07 Dropper.Agent.GIT
BitDefender 7.2 2008.01.07 Trojan.Dropper.Vundo.D
CAT-QuickHeal 9.00 2008.01.05 TrojanDropper.Agent.dgo
ClamAV 0.91.2 2008.01.07 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.01.07 Trojan.MulDrop.10006
eSafe 7.0.15.0 2008.01.06 -
eTrust-Vet 31.3.5438 2008.01.07 Win32/Trats.A
Ewido 4.0 2008.01.07 Dropper.Agent.dgo
FileAdvisor 1 2008.01.07 -
Fortinet 3.14.0.0 2008.01.07 -
F-Prot 4.4.2.54 2008.01.06 W32/Virtumonde.OQ
F-Secure 6.70.13030.0 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
Ikarus T3.1.1.15 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
Kaspersky 7.0.0.125 2008.01.07 Trojan-Dropper.Win32.Agent.dgo
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.07 Virus:Win32/Trats.C
NOD32v2 2770 2008.01.07 Win32/TrojanDropper.Agent.DGO
Norman 5.80.02 2008.01.04 W32/Vundo.AY
Panda 9.0.0.4 2008.01.07 Trj/Dropper.ZN
Prevx1 V2 2008.01.07 -
Rising 20.26.02.00 2008.01.07 -
Sophos 4.24.0 2008.01.07 W32/VirtInf-B
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.07 W32.Trats!inf
TheHacker 6.2.9.183 2008.01.07 W32/Zhelatin.gen
VBA32 3.12.2.5 2008.01.07 Win32.TrojanDropper.Agent.DGO
VirusBuster 4.3.26:9 2008.01.06 Win32.Trats.Gen
Webwasher-Gateway 6.6.2 2008.01.07 Trojan.Drop.Agent.dgo.21
weitere Informationen
File size: 348160 bytes
MD5: c123ec26bac971fc88d4ddfbc9ebbb62
SHA1: 82938c9e13f41b97fe78c7d2e9a5a1f693256eb2
PEiD: -

und wie siehts jetzt aus? was kann ich tun, leider meldet sich sunny ja nicht mehr obwohl er online ist mmhpf?!?

Also alle, die einen solchen F3-Eintrag hatten, sind am Ende zu einer Neuinstallation gekommen weil die Reinigungsversuchen fehlschlugen. Aber Sunny könnte ja noch etwas anderes in petto haben.
Wenn du aber kein Onlinebanking machst, kein eBay und sonstige Sachen, die ein Passwort benötigen, könntest du ja eine Reinigung versuchen.

naja ich hoffe ma sunny wird sich noch melden und mir weiterhelfen können, aber auch dir vielen danke=)

Ich habe nicht viel Hoffnung für dein System, da es ziemlich verseucht ist, aber einen Versuch haben wir noch, sollte es nicht klappen bleibt dir definitiv nur eine Neuinstallation:


Öffne HijackThis -> Do a System Scan Only -> folgende Einträge anhaken:

Nun den Button "Fix checked" klicken.


Bitte lade Dir OTMoveIt von OldTimer herunter.
(am besten auf den Desktop!)
-Starte es mit einem Doppelklick
-kopiere nun folgende Zeilen in das Fenster -> "Paste List of Files/Folders to be moved"


-Klicke nun auf den Button -> Moveit!
-nun das Programm arbeiten lassen, danach alles aus dem Ergebnisfenster kopieren und in deinen Beitrag einfügen.



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Sorry für Doppelpost! :o

Also, du warst/bist ein Versuchskaninchen gewesen, ich will eigentlich nur wissen ob in diesem Stadium ein Dropper, besser gesagt die vtsqn.exe, zu löschen ist. ;)

Ich rate dir auf jeden Fall alle nicht ausführbaren Dateien (MP3, Videos, Briefe etc.) zu sichern und dann dein System neu aufzusetzen.

Der sogenannte Trojan.Dropper hat auf deinem System viele einige Systemdateien infiziert:

also:
otmoveit:
C:\WINDOWS\system32\vtsqn.exe moved successfully.
File/Folder C:\programme\powerdvd\Language\Language.exe not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp not found.
File/Folder C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp not found.
File/Folder C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\vtsqn.dll
C:\WINDOWS\system32\vtsqn.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\vtsqn.dll scheduled to be moved on reboot.

Created on 01.07.2008 17:55:52


mitlerweile hatte antivir auch sich selbst als betroffen gemeldet bzw seine exe habs jetzt ausm autostart rausgenommen weil ich bei den checks von den bieden progs immer wieder warnungen bekam und es teilweise dadurch net weiter bzw falsch weiter ging (bsp.: wenn ich bei einer meldung auf delete gemklickt hab konnt otmoveit die datei nicht mehr löschen usw)

combofix:
ComboFix 08-01-07.5 - Jonny 2008-01-07 17:57:54.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1642 [GMT 1:00]
Running from: C:\Documents and Settings\Jonny\Desktop\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater .exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr .Exe
C:\programme\powerdvd\PDVDServ.exe
C:\WINDOWS\OPTIONS\CABS\_desktop.ini
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\nqstv.ini
C:\WINDOWS\system32\nqstv.ini2
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vtsqn.dll

.
.
((((((((((((((((((((((((( Files Created from 2007-12-07 to 2008-01-07 )))))))))))))))))))))))))))))))
.

2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM
2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Program Files\Avira
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager
2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\Jonny\Contacts
2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live
2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\MSNInstaller
2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview
2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\mIRC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 22:26 --------- d-----w C:\Documents and Settings\Jonny\Application Data\teamspeak2
2008-01-05 17:15 --------- d-----w C:\Documents and Settings\Jonny\Application Data\OpenOffice.org2
2008-01-05 10:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\ICQ
2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 20:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\Syntrillium
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-02 17:48 --------- d-----w C:\Documents and Settings\Jonny\Application Data\JavaEditor
2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2007-04-15 22:22 169984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\
Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Jonny^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2008-01-06 01:56 2701312 C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-01-07 17:52 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
E:\Programme\Kaspersky\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\vtsqn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe

R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 18:03:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-07 18:05:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-07 17:05:02


wenn ich wirklich jetzt neuinstallieren muss was muss ich beachten wie stelle ich es am besten an damit wirklich alles weg ist?!! und wie schütze ich mich in zukunft vor dem scheiß, hab ja noch net ma ahnung wo ich das her hab... welches antivirenprogramm kann man empfehlen? soll ich die ganzen runtergeladen programme behalten, in wie fern können die mir noch helfen für die zukunft hab ja keine ahnung wo für die jetzt alle gut sin...

vielen danke
L3g3nD


sry hijack-this-vergessen:
Logfile of HijackThis v1.99.1
Scan saved at 18:13:49, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\WinRAR\WinRAR.exe
C:\Documents and Settings\***\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Den Übeltäter, nämlich die vtsqn.exe scheint wirklich gelöscht zu sein, sie steht zwar noch in der Registrierung, und wird beim nächsten Neustart eine Fehlermeldung hervorrufen das sie nicht mehr zu finden ist, dennoch sind alle anderen .exe Dateien infiziert.

Wie du dir den Dropper in das System geholt hast kann ich dir auch nicht sagen, fakt ist nur das du da wirklich nicht drumherum kommst:

http://www.trojaner-board.de/12154-a...sicherung.html

Es ist zwar viel zu lesen, aber alles sehr verständlich.
Wenn du alles so einhälst wie es dort beschrieben ist, wirst du zu 90% keine Probleme mehr mit Malware haben!

Sollten noch Fragen sein, einfach melden. :daumenhoc

Sunny

Alles klar danke für alles auch wenn es nicht geklappt hat! ich hab dir noch ma ne private nachricht hier im board geschrieben.... was mir nur unklar ist was du damit meinst: "Ich rate dir auf jeden Fall alle nicht ausführbaren Dateien (MP3, Videos, Briefe etc.) zu sichern und dann dein System neu aufzusetzen."
was sind nicht ausführbare dateien?

Drehen wir es mal andersrum, du darfst/solltest keine Dateien oder Programme kopieren bzw. sichern welche ausführbar sind.

z.B. -> nvidiatreiber.exe oder adobereader8.exe

Das heisst keine Programme/Software die zu installieren ist, denn diese könnten ebenfalls vom Dropper infiziert worden sein.
Das heisst alle mp3, videos oder briefe (*.doc) kannst du sichern, diese werden (meist!) nicht infiziert.

Hast du es verstanden? :crazy:

@Legend

Wie in der PN geschrieben, poste das Ergebnis dann hier im Beitrag.
Ich hoffe das es funktioniert, schlimmer gehts auf jeden Fall nimmer. ;)

Ich schaue es mir dann morgen an. :daumenhoc

AdobeUpdater.exe;C:\Program Files\Common Files\Adobe\Updater5;Trojan.MulDrop.10006;Verschoben.;
MsnMsgr.Exe;C:\Program Files\Windows Live\Messenger;Trojan.MulDrop.10006;Verschoben.;
mirc.chm\ctcp_events.htm;C:\programme\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;C:\programme\mIRC;Archiv enthält infizierte Objekte;Verschoben.;
avgnt.exe.vir;C:\QooBox\Quarantine\C\Program Files\Avira\AntiVir PersonalEdition Classic;Trojan.MulDrop.10006;Verschoben.;
ctfmon.exe.tmp.vir;C:\QooBox\Quarantine\C\WINDOWS\system32;Trojan.MulDrop.10006;Verschoben.;
A0000013.exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
A0000018.bat;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;möglicherweise BATCH.Virus;Verschoben.;
A0000061.exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
A0000062.Exe;C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2;Trojan.MulDrop.10006;Verschoben.;
msconfig.exe.tmp;C:\WINDOWS\pchealth\helpctr\binaries;Trojan.MulDrop.10006;Verschoben.;
RCX43.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX45.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX49.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX4B.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX53.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCX59.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCXBD.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
RCXC3.tmp;C:\_OTMoveIt\MovedFiles\DOCUME~1\J***\LOCALS~1\Temp;Trojan.MulDrop.10006;Verschoben.;
Language.exe;C:\_OTMoveIt\MovedFiles\programme\powerdvd\Language;Trojan.MulDrop.10006;Verschoben.;
vtsqn.exe;C:\_OTMoveIt\MovedFiles\WINDOWS\system32;Trojan.MulDrop.10006;Verschoben.;


ich hab jetzt extra nur diesen teil geschrieben im andern stehn alle dateien von meinem rechner drin, die ich doch nicht so einfach offenbaren möchte ^^

Ach so noch eins.
Bei der Sicherung der (nichtausführbaren) Dateien darauf achten, dass du nicht die kompletten Ordner kopierst, sondern nur die darin befindlichen *.mp3, *.doc, *.jpg usw.
In einem Ordner können sich auch unsichtbar Schadprogramme verstecken, die du dann mitkopierst.

Master Boot Record HDD1 - Ok
Active OS/2 or WinNT Boot Sector HDD1 - Ok

gaaaanz viele dateien von meinem pc die ich nicht alle zeigen will...

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 183885
Infizierte Objekte gefunden: 19
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 19
Ignorierte Objekte: 0
Leistung:: 581 Kb/s
Dauer:: 00:49:29
-----------------------------------------------------------------------------

C:\System Volume Information\_restore{1D122D10-0D88-4597-BBF3-350CB8F099E5}\RP2\A0000018.bat - verschoben

=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 1
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
=============================================================================



und dann das noch, das andre is iwi der prüfbericht den ich zusätzlich noch abspeichern konnte...

ok, darüber hatten wir ja schon gesprochen. ;)

Führe nun noch mal alle Scans durch.

vundo fix hat nichts gefunden!

ComboFix

ComboFix 08-01-07.5 - *** 2008-01-08 16:23:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1602 [GMT 1:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-12-08 to 2008-01-08 )))))))))))))))))))))))))))))))
.

2008-01-08 16:01 . 2008-01-08 16:01 <DIR> d-------- C:\VundoFix Backups
2008-01-07 21:34 . 2008-01-07 21:50 <DIR> d-------- C:\Documents and Settings\***\DoctorWeb
2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM
2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Program Files\Avira
2008-01-06 02:07 . 2008-01-06 02:07 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager
2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\***\Contacts
2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live
2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\***\Application Data\MSNInstaller
2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview
2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\***\Application Data\mIRC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 22:26 --------- d-----w C:\Documents and Settings\***\Application Data\teamspeak2
2008-01-05 17:15 --------- d-----w C:\Documents and Settings\***\Application Data\OpenOffice.org2
2008-01-05 10:06 --------- d-----w C:\Documents and Settings\***\Application Data\ICQ
2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 20:06 --------- d-----w C:\Documents and Settings\***\Application Data\Syntrillium
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-02 17:48 --------- d-----w C:\Documents and Settings\***\Application Data\JavaEditor
2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\***\Start Menu\Programs\Startup\
Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^***^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Documents and Settings\***\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-01-07 17:52 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
E:\Programme\Kaspersky\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\vtsqn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe

R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 16:24:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-08 16:24:50
ComboFix-quarantined-files.txt 2008-01-08 15:24:48
ComboFix2.txt 2008-01-07 17:05:05

Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 16:50:29, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\programme\Last.fm\LastFMHelper.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Jonny\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ok werde ich machen aber eine frage zum ccleaner ich hab den ordner jetzt hinzugefügt und dann auf cleaner machen oder wie? da sind ja auch noch jede menge häckchen...

Die Häkchen kannst du lassen! ;)

noch ma runterladen hatteste mir schon ma gegeben?

Runterladen dann nicht mehr! dachte du hättest es schon wieder gelöscht!"

Eine Frage vorweg, willst du den gesamten Bereinigungsprozess in Kauf nehmen oder doch lieber neu installieren?!
Was ist dir lieber? :confused:

Da ich atm eh nicht die möglichkeiten hab die daten auf nem andern PC zu speichern können wir ruhig bereinigen und außerdem willst du doch auch wissen ob es letztendlich klappt oder nicht?


wo ist bei counterspy "save option" häckchen?

# Windows XP: Deaktiviere die Systemwiederherstellung, <--- hab ich eh schon die ganze zeit
# boote den Rechner, <--- weiterhin im abgesicherten?
# aktiviere die Systemwiederherstellung. <----- muss ich dann immer nachm scan deaktivieren neu booten und wieder aktivieren form scan oder wie?
# Vergib einen vorläufigen Systempunkt. <--- systemwiederherstellungspunkt?
# Alle Systeme: Verwende nun wieder CounterSpy, <-- was soll das alle systeme davor?

Sorry, hab das jetzt erst gesehen! :)

Vergiss das Thema! ;)

Ok.

Nein, normaler Modus!

Nein, dann nicht mehr deaktivieren!

Richtig!

Alle Laufwerke! ;)

Hallo Leute!
Habe mir noch Silvester einige

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Um den reinen "dgo" incl. den Vundos, die er droppt zu loeschen, reicht combofix zusammen mit einem AV, der den dgo erkennen kann, das waren bis gestern alle mir bekannten.
Falls du mehr infizierte Dinge gefunden hast, dann gehe ich stark davon aus, das du dir das, incl. dem dgo, ueber einen Crack/Keygen eingefangen hast, der auf "einschlaegigen" Seiten anngeboten werden. Sprich das ist ein RAR(zip?)sfx, das eine Batch und 2-3 exe Dateien enthaelt. die keygen.exe darin installiert dir den Vundo/dgo, bei der anderen DAtei variirt das sehr stark. Je nachdem, was gerade auf den Downloadservern zu finden ist. Ist dieser Downloaderr nicht schon vor dem Start von einem AV Programm geblockt worden, kann man den PC am besten neu aufsetzen.

Kontrolliere deine Festplatte mal nach DAteien um den 31.12 und du wirst noch mehr Dateien finden, die auf deinem Rechner gelangt sind.

@Legend

Gibt es irgendwelche Probleme, wenn ja dann melde dich!
Ansonsten lass Counterspy suchen und die Registrierungsschlüssel aus dem System suchen, so wie beschrieben.


/OT

Hallo raman, schön dich mal wieder hier zu lesen. :party:

Also ich hatte nen paar kleine probleme bzw hab selber paar Fehler gemacht:
1. im abgesicherten modus hat counterspy nen ganz andres menu als im normalen deswegne hab ichs iwi vercheckt log zu speichern =( er hatte eine normale datei, nen backdoor glaub bti gefunden und noch 3 registry einträger in hkey_user, allerdings im normal modus zeigte er nur 2 funde an?!?!
bei den weiteren scannen im normal modus hat er nichts mehr gefunden
2. systempunkt hab ich iwi vercheckt nachm ersten scannen und weiß auch ehrlichgesagt nicht wie ich das ohne zusätzliches programm mache....
3. bei den weiteren scans hat er zwar nichts gefunden allerdings hat antivir mir relativ am anfang wieder einigen viren meldungen gegeben, könnte mir aber vorstellen das das daran liegt das eine antivir datei ja selber beschädigt/infiziert war/ist

so dann regsearch logs:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 13:51:09 for strings:
; 'vtsqn.exe'
; 'zts2.exe'
; 'iifgfgf.dll'
; 'runll16.exe'
; 'rundl132.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
"command"="C:\\WINDOWS\\system32\\vtsqn.exe"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 13:55:08 for strings:
; 'logo1_.exe'
; 'vcmgcd32.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Ich bin in einer Stunde zu Hause, dann geht es weiter.
Hier auf Arbeit habe ich keine Programme oder deren Anleitungen gespeichert. :dummguck:

Bis gleich ...

alles klar bin von 3 bis 4 halb 5 leider auch weg, werde danach sofort weiter machen....
danke für die vielen mühen!!

ich hab da auch noch noch: "item" = "vtsqn" das auch löschen?

Ja, das steht auch mit der Datei im Zusammenhang!
(frage mich nur wieso das Regsearch nicht gefunden hat?! :confused: )

weil da nicht vtsqn.exe sondern nur vtsqn steht nehme ich an... soll ich vorher vllt noch ma generell nach den dateien suche ohne endungen?

Tu das .. bin gleich wieder da. :D

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 18:11:25 for strings:
; 'vtsqn'
; 'zts2'
; 'iifgfgf'
; 'rundll16'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\vtsqn.dll"="2080"

; End Of The Log...

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 10.01.2008 18:13:50 for strings:
; 'rundl132'
; 'logo1_'
; 'vcmgcd32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


was ist eig mit ot_move it das auch betroffen war? anscheinend hat er ja in der reg vom security task manager was gefunden muss ich den auch deinstallieren?

hab grad in dem ordner nach geguckt das is auch noch ne awttqon.dll drin... falls du dich erinnerst war das eine der ersten infizierten dateien...

Diesen Schlüssel kannst du auch löschen ->

[HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache]
"C:\\WINDOWS\\system32\\vtsqn.dll"="2080"

Mach nun mit Rouge weiter, erst mal nichts mehr deinstallieren oder, ich hoffe das wir das so langsam mal in den Griff bekommen!

ok die von awttqon auch nehme ich an...

ja. .. aber das ist erst mal nicht (ganz) so wichtig.

----------------RVAXO.exe first run-------------
Files found:
C:\WINDOWS\system32\systems.txt

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------


die gefundenen sachen löschen oder net? er hat grad noch was gefunden in der backup.zip von avenger :o

Ein letztes mal das Combofix einsetzen:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!



Führe nun einen Scan hiermit aus -> Kaspersky - VirusRemoval Tool

Bitte genau die Anleitung beachten!

ComboFix 08-01-10.2 - Jonny 2008-01-10 19:29:22.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1586 [GMT 1:00]
Running from: C:\Documents and Settings\Jonny\Desktop\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))
.

2008-01-10 19:01 . 2008-01-10 19:01 <DIR> d-------- C:\Program Files\Avira
2008-01-10 18:54 . 2008-01-10 18:54 <DIR> d-------- C:\RVAXO
2008-01-10 18:51 . 2008-01-10 10:49 598,564 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-01-10 18:51 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-01-10 17:38 . 2007-12-16 15:40 31,024 --a------ C:\WINDOWS\system32\rrMon.sys
2008-01-09 22:05 . 2008-01-09 22:06 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-01-09 00:56 . 2008-01-09 00:56 0 --a------ C:\WINDOWS\system32\SBRC.dat
2008-01-08 21:53 . 2008-01-08 21:53 0 --a------ C:\WINDOWS\system32\SBFC.dat
2008-01-08 17:37 . 2008-01-08 17:37 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-01-08 17:35 . 2008-01-08 17:35 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\Sunbelt Software
2008-01-08 17:35 . 2008-01-08 17:35 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Sunbelt Software
2008-01-07 21:34 . 2008-01-07 21:50 <DIR> d-------- C:\Documents and Settings\Jonny\DoctorWeb
2008-01-07 17:57 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 19:50 . 2008-01-06 19:50 0 --a------ C:\23990098.$$$
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 18:31 . 2008-01-06 18:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 18:28 . 2004-08-04 00:56 146,432 --a------ C:\WINDOWS\R.COM
2008-01-06 18:28 . 2004-08-04 00:56 135,680 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 18:28 . 2008-01-06 18:30 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 17:45 . 2008-01-06 17:45 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-06 02:07 . 2008-01-10 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 02:02 . 2008-01-06 02:02 <DIR> d-------- C:\Program Files\Security Task Manager
2008-01-06 02:02 . 2008-01-06 16:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-01-05 23:16 . 2008-01-06 01:57 <DIR> d-------- C:\Documents and Settings\Jonny\Contacts
2008-01-05 23:15 . 2008-01-05 23:15 <DIR> d-------- C:\Program Files\Windows Live
2008-01-05 23:06 . 2008-01-05 23:06 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\MSNInstaller
2008-01-04 14:08 . 2008-01-04 14:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Last.fm
2008-01-04 02:25 . 2008-01-04 02:25 <DIR> d-------- C:\WINDOWS\nview
2008-01-04 02:25 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-04 02:25 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-04 02:25 . 2008-01-05 23:40 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-04 02:25 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-03 04:51 . 2008-01-04 19:45 <DIR> d-------- C:\Documents and Settings\Jonny\Application Data\mIRC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 23:28 --------- d-----w C:\Documents and Settings\Jonny\Application Data\OpenOffice.org2
2008-01-05 22:26 --------- d-----w C:\Documents and Settings\Jonny\Application Data\teamspeak2
2008-01-05 10:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\ICQ
2007-12-26 16:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 20:06 --------- d-----w C:\Documents and Settings\Jonny\Application Data\Syntrillium
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-05 00:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-05 00:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-05 00:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-05 00:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-05 00:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-05 00:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-05 00:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-05 00:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-05 00:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-05 00:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-05 00:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-05 00:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-05 00:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-12-05 00:41 1,089,536 ----a-w C:\WINDOWS\system32\nvcuda.dll
2007-12-05 00:41 1,073,152 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-12-05 00:41 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-12-02 17:48 --------- d-----w C:\Documents and Settings\Jonny\Application Data\JavaEditor
2007-07-10 23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-05-23 00:20 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007052320070524\index.dat
2007-07-10 23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-01-07_18.04.51.78 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2008-01-10 18:29:12 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-10 18:29:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-10 18:29:12 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-10 18:29:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-10 18:29:12 6,234,112 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-10 18:29:12 417,792 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-08 16:35:14 19,230 ----a-r C:\WINDOWS\Installer\{B0EB7BCE-1779-46D7-A27C-41D1457F7958}\ARPPRODUCTICON.exe
+ 2006-12-28 15:13:52 516,832 ----a-w C:\WINDOWS\system32\capicom.dll
- 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-08-09 12:04:05 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
- 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-07-18 13:22:13 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
- 2008-01-06 01:09:40 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-01-10 18:04:21 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2006-10-30 09:30:30 10,032 ----a-w C:\WINDOWS\system32\drivers\SBTEDrv.sys
- 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2007-03-01 09:34:30 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
- 2007-07-14 17:18:11 99,848 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-01-09 15:32:27 104,624 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2005-11-02 09:39:14 131,072 ----a-w C:\WINDOWS\system32\MD5.dll
+ 2005-11-02 09:39:16 24,924 ----a-w C:\WINDOWS\system32\openports.dll
+ 2003-02-21 06:16:08 49,152 ----a-w C:\WINDOWS\system32\REGTLIB.EXE
+ 2007-12-16 14:40:30 119,728 ----a-w C:\WINDOWS\system32\rrsec.dll
+ 2007-12-16 14:40:20 97,240 ----a-w C:\WINDOWS\system32\rrsec2k.exe
+ 2007-08-27 09:26:10 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe
+ 2005-11-02 09:39:16 40,960 ----a-w C:\WINDOWS\system32\SDelete.dll
- 2000-08-31 07:00:00 49,152 ----a-w C:\WINDOWS\system32\VFind.exe
+ 2008-01-03 18:47:58 49,152 ----a-w C:\WINDOWS\system32\VFind.exe
+ 2006-06-22 13:40:28 493,400 ----a-w C:\WINDOWS\system32\XceedZip.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 101136 C:\WINDOWS\KHALMNPR.Exe]
"LanguageShortcut"="C:\programme\powerdvd\Language\Language.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"SBCSTray"="C:\programme\CounterSpy\SBCSTray.exe" [2007-11-28 12:57 698864]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-10 19:04 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\
Last.fm Helper.lnk - C:\programme\Last.fm\LastFMHelper.exe [2008-01-04 13:57:56]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-05-25 00:23:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^Jonny^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Documents and Settings\Jonny\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-01-10 19:04 249896 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
E:\Programme\Kaspersky\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 12:49 153136 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 E:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 01:41 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 01:41 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerStrip]
--a------ 2007-04-08 14:22 721656 c:\program files\powerstrip\pstrip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2008-01-06 01:56 29696 C:\programme\powerdvd\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTuner]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-04-29 18:05 2588672 C:\Program Files\RivaTuner v2.01\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-03-21 13:49 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-12 23:24 1266936 E:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-01-06 01:56 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 C:\Program Files\Winamp\winampa.exe

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-01-08 17:37]
R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 10:35]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
*Newly Created Service* - SBAPIFS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 19:30:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 19:30:45
ComboFix-quarantined-files.txt 2008-01-10 18:30:43
ComboFix2.txt 2008-01-08 15:24:51
ComboFix3.txt 2008-01-07 17:05:05



das schon ma combofix
av hatte noch einige gefunden nach der backup.zip hab aber ignore gemacht und av beendet und dann combofix gestartet.... waren A123981902841284 dateien (zahlen fiktiv) kaspersky grad am runter laden...

Das sieht schon mal sehr gut aus, und das hier:

sollten Überbleibsel im Ordner "System Volume" sein...
Bitte das nächste mal unbedingt den Verzeichnispfad aufschreiben. ;)
Sonst weiß ich nicht wo was gemeldet wurde.

Gibt es denn sonst noch Probleme mit deinem System, außer Antivir, welche du erkennen kannst?

Poste auf jeden Fall noch die Auswertung von Kaspersky.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Thursday, January 10, 2008 19:04

Es wird nach 1024328 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: L3G3ND

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 9/19/2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 8/23/2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 8/14/2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 8/14/2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 8/14/2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 7/18/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 12/14/2007 18:04:20
ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 1/8/2008 18:04:20
ANTIVIR3.VDF : 7.0.1.220 109568 Bytes 1/10/2008 18:04:20
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 1/10/2008 18:04:21
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2/26/2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 7/18/2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 4/16/2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 1/10/2008 18:04:21
AVREG.DLL : 7.0.1.6 30760 Bytes 7/18/2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 8/28/2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 7/18/2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 3/8/2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 8/7/2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 8/21/2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 7/23/2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Thursday, January 10, 2008 19:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CooLSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windumm>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\avenger\backup.zip
[0] Archivtyp: ZIP
--> avenger/awttqon.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.hme
--> avenger/vtsqn.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[INFO] Die Datei wurde gelöscht.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\A0000013.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.42
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\A0000061.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\AdobeUpdater.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\avgnt.exe.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.dgo.42
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\ctfmon.exe.tmp.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\Language.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[WARNUNG] Die Datei wurde ignoriert.
C:\Documents and Settings\Jonny\DoctorWeb\Quarantine\msconfig.exe.tmp
[FUND] Ist das Trojanische Pferd TR/Vundo.DVD
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Thursday, January 10, 2008 19:28
Benötigte Zeit: 23:37 min

Der Suchlauf wurde abgebrochen!

620 Verzeichnisse wurden überprüft
4936 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
4927 Dateien ohne Befall
44 Archive wurden durchsucht
8 Warnungen
0 Hinweise

das war der report von antivir...

wegen system kann ich atm noch net genau sagen hab noch nichts großartig gemacht, vom gefühl her läuft aber recht stabil und normal werde nach kaspersky bissl testen...

Sehr gut, die restlichen Dateien in den Qurantäne-Ordnern löschen wir dann nach Kaspersky! ;)

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen


Dein System sollte nach der letzten Bereinigung wieder sauber sein, du solltest nun Kaspersky deinstallieren und erst danach Antivir wieder aktivieren!

Lass Antivir nun noch mal alles durchscannen, und poste danach den aktuellen Report!

irgendwie sagt er mir das die file not valid sind obwohl die dateien alle da sind bzw existieren... was soll ich machen?

sunny was soll ich machen? bitte antworte...