Trojaner-Board - TR/Vundo.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Vundo.Gen (https://www.trojaner-board.de/51300-tr-vundo-gen.html)

Hallo :)

ich weiß hier gerad nicht weiter und hoffe, wer von euch kann mir helfen.

Vorhin kam eine Meldung von AntiVir:

"In der Datei 'C:\WINDOWS\system32\xxywUOHX.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Hab versucht, einen Onlinescanner (housecall oder so ähnlich) drüberlaufen zu lassen, aber geht leider nicht :( Danach nochmal AntiVir das komplette System durchsuchen lassen, aber keine Funde.

Hab versucht, den Taskmanager zu öffnen, um zu schauen, ob da irgendwas läuft, was nicht laufen sollte, aber der läßt sich auf einmal nicht mehr öffnen.

Und jetzt bin ich etwas ratlos, was ich machen soll :(

BS ist WinXP.

Liebe Grüße
Joy

Hi Joy und Herzlich Willkommen

Bitte poste erstmal ein Hijackthis Logfile (Link findest du in meiner Signatur):daumenhoc

danke dir :)

und hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:32, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Mixer.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IncrediMail] D:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201803701606
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4302 bytes

Hallo Joy und

http://www.mysmilie.de/generator/ablage/156/257.png

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Hallo Sunny auch dir danke! :)

oki, arbeite ich mal ab und melde mich dann wieder ^^

LG Joy

edit... das mit dem Link von Vundfix klappt nicht :( ich versuchs später nochmal, Hundi muß erst mal raus ^^

sooo hat etwas gedauert aber nu ist fertig :)

Vundofix hatte drei Einträge unter System32 gefunden.

Und hier der Scanbericht von mbam:

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 586

Scan Art: Komplett Scan (A:\|C:\|D:\|)
Objekte gescannt: 50328
Scan Dauer: 13 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
c:\WINDOWS\system32\pmnlkHYO.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\fccaWOEV.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnlkhyo (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63b3ebfa-6379-41d2-8cbe-2a5d238fe66b} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{63b3ebfa-6379-41d2-8cbe-2a5d238fe66b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{826a5ed9-1316-4efd-87f8-aa400c5d551a} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\fccawoev -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\pmnlkHYO.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\fccaWOEV.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\VEOWaccf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VEOWaccf.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\dwltqnmx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fkdnrwsv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\sxfnewqb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Ist jetzt wieder alles ok?

LG Joy

P.S. der Taskmanager läßt sich immer noch nicht öffnen :( Kommt Meldung: "Der Task-Manager wurde durch den Administrator deaktiviert" hm... wie aktivier ich das wieder?? ^^

Um den Tasmanager kümmern wir uns gleich noch.
Wenn du auf Start -> Ausführen -> "eintippen" -> regedit [ENTER]
Was passiert?

desweiteren:

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner"

Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

hi :)

dann erscheint der Registrierungs-Editor.

hui noch mehr Progs...oki ^^ arbeite ich die auch mal durch und melde mich dann wieder ;)

LG Joy

Zitat:

Zitat von Joy (Beitrag 332232)

hi :)

dann erscheint der Registrierungs-Editor.

Sehr gut, dann aktivieren wir nachher auch wieder den Taskmanager, aber eins nach dem anderen.. ;)

ok *gg*

soo hab beide Progs durchlaufen lassen :)

hm... das Log vom Combofix hat aber viiiiel Text...alles hier reinkopieren?

LG Joy

Zitat:

Zitat von Joy (Beitrag 332240)

hm... das Log vom Combofix hat aber viiiiel Text...alles hier reinkopieren?

Ich bitte darum .. ;)

*gg* oki hier isses:

ComboFix 08-04-03.2 - xxxxx 2008-04-03 18:41:08.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-03 18:28 . 2008-04-03 18:28 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 17:33 . 2008-04-03 17:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-03 17:33 . 2008-04-03 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-04-03 17:33 . 2008-04-03 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-03 15:20 . 2008-04-03 15:20 <DIR> d-------- C:\Programme\Trend Micro
2008-04-03 11:16 . 2008-04-03 11:15 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-04-03 11:14 . 2008-04-03 11:14 <DIR> d-------- C:\WINDOWS\Sun
2008-04-03 11:14 . 2008-04-03 11:29 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\.housecall6.6
2008-04-03 11:14 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-03 11:13 . 2008-04-03 11:14 <DIR> d-------- C:\Programme\Java
2008-04-03 11:12 . 2008-04-03 11:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-15 16:18 . 2008-03-15 16:18 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-03-15 16:17 . 2008-03-15 16:17 32 --a------ C:\WINDOWS\autostart.INI
2008-03-13 00:21 . 2008-03-15 11:55 <DIR> d-------- C:\Programme\Google
2008-03-06 20:21 . 2008-03-06 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 16:45 10,162,208 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-03 16:43 121,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-03 16:03 337,408 ----a-w C:\WINDOWS\Internet Logs\xDB37.tmp
2008-04-03 15:27 1,377,792 ----a-w C:\WINDOWS\Internet Logs\xDB36.tmp
2008-04-03 06:41 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\SlimBrowser
2008-04-01 21:40 857,600 ----a-w C:\WINDOWS\Internet Logs\xDB35.tmp
2008-03-30 20:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-30 20:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-03-28 10:07 706,560 ----a-w C:\WINDOWS\Internet Logs\xDB34.tmp
2008-03-23 22:12 190,464 ----a-w C:\WINDOWS\Internet Logs\xDB33.tmp
2008-03-22 22:32 187,392 ----a-w C:\WINDOWS\Internet Logs\xDB31.tmp
2008-03-22 22:32 1,321,472 ----a-w C:\WINDOWS\Internet Logs\xDB32.tmp
2008-03-21 21:05 329,728 ----a-w C:\WINDOWS\Internet Logs\xDB2F.tmp
2008-03-21 21:05 1,317,376 ----a-w C:\WINDOWS\Internet Logs\xDB30.tmp
2008-03-20 10:02 1,313,280 ----a-w C:\WINDOWS\Internet Logs\xDB2E.tmp
2008-03-19 16:00 180,224 ----a-w C:\WINDOWS\Internet Logs\xDB2C.tmp
2008-03-19 16:00 1,313,280 ----a-w C:\WINDOWS\Internet Logs\xDB2D.tmp
2008-03-18 13:18 215,552 ----a-w C:\WINDOWS\Internet Logs\xDB2A.tmp
2008-03-18 13:18 1,308,672 ----a-w C:\WINDOWS\Internet Logs\xDB2B.tmp
2008-03-16 23:08 134,656 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-03-16 23:08 1,302,016 ----a-w C:\WINDOWS\Internet Logs\xDB29.tmp
2008-03-16 09:36 1,299,456 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2008-03-15 22:23 349,696 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2008-03-15 22:23 1,300,992 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2008-03-15 10:13 1,363,456 ----a-w C:\WINDOWS\Internet Logs\xDB23.tmp
2008-03-15 10:12 1,363,456 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2008-03-14 09:23 1,360,384 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp
2008-03-13 21:05 321,024 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp
2008-03-13 11:10 1,358,848 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp
2008-03-12 22:25 1,357,824 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp
2008-03-12 21:52 1,354,240 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp
2008-03-12 13:59 249,856 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-03-10 20:28 355,840 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-03-08 22:40 1,102,336 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp
2008-03-04 09:00 395,264 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp
2008-03-04 09:00 1,313,792 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-03-01 21:38 153,088 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-03-01 21:38 1,293,824 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-03-01 13:11 1,291,264 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-02-29 21:10 216,576 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-02-29 21:10 1,294,336 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-02-28 21:45 312,320 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-02-28 21:45 1,288,704 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-02-27 10:24 56,832 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-02-27 10:24 1,454,080 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-02-26 22:01 1,453,568 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-02-23 15:06 23,552 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-02-22 22:27 135,680 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-02-22 22:27 1,443,840 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-20 15:09 1,440,256 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-02-19 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\MGI Shared
2008-02-17 09:56 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-02-17 09:56 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2008-02-17 09:53 --------- d-----w C:\Programme\LiveUpdate
2008-02-17 09:53 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\InstallShield
2008-02-16 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Motorola Shared
2008-02-16 20:00 92,064 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmmdm.sys
2008-02-16 20:00 9,232 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmmdfl.sys
2008-02-16 20:00 79,328 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmserd.sys
2008-02-16 20:00 66,656 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmbus.sys
2008-02-16 20:00 6,208 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmcmnt.sys
2008-02-16 20:00 5,936 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmwhnt.sys
2008-02-16 20:00 4,048 ----a-w C:\Dokumente und Einstellungen\xxxxx\mqdmcr.sys
2008-02-16 20:00 25,600 ----a-w C:\Dokumente und Einstellungen\xxxxx\usbsermptxp.sys
2008-02-16 20:00 22,768 ----a-w C:\Dokumente und Einstellungen\xxxxx\usbsermpt.sys
2008-02-15 22:47 305,664 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-02-15 22:47 1,409,536 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-02-14 08:17 1,406,464 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-02-10 20:35 225,280 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-02-10 15:29 24,192 ----a-w C:\WINDOWS\system32\drivers\usbsermptxp.sys
2008-02-10 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-10 10:56 --------- d-----w C:\Programme\MGI
2008-02-03 21:21 99,840 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-02-03 21:21 1,357,824 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-02-03 10:06 1,353,728 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-02-02 21:30 1,352,192 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-02-01 19:10 269,824 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-02-01 19:10 1,344,512 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F3053117-DF56-4767-8212-B3C893ED1F57}]
C:\WINDOWS\system32\ssqQkIaX.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [2008-01-23 13:43 214456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-07-28 15:19 4841472]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-10-15 19:00 1818624 C:\WINDOWS\mixer.exe]
"ZoneAlarm Client"="D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 20:27 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-01 19:01 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"D:\\Programme\\IncrediMail\\bin\\ImApp.exe"=

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-03-15 16:18]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-02-28 14:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-01 19:32]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:42:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 18:45:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 18:48:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-03 16:48:31
5 Verzeichnis(se), 3,040,194,560 Bytes frei
7 Verzeichnis(se), 3,562,319,872 Bytes frei

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\ssqQkIaX.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

hm...die Datei gibbet da nicht :(

P.S. aber der Taskmanager funktioniert wieder *freu* :)

Zitat:

Zitat von Joy (Beitrag 332248)

hm...die Datei gibbet da nicht :(

Das ist kein gutes Zeichen, hast du auch wirklich alle Dateien sichtbar gemacht? Nicht nur die versteckten Dateien sondern auch die Systemdateien?