2x TR/Vundo.Gen; 1x TR/Vundo.Gj
 

Guten Abend aus Stuttgart

Ich bin neu hier (und auf diesem Gebiet) und habe mich nur deswegen hier angemeldet, weil ich eine Meldung bekam. Ich hätte diesen - anscheinend im Internet oft vorkommenden - Virus eingefangen. Wie überall beschrieben-> er lässt sich nicht einfach löschen.

Nun, ich habe mir HiJackThis runtergeladen, wie beschreiben ausgeführt und werde meine log unten posten.

Verzeiht mir bitte die Fehler, die ich hier vielleicht mache, aber wie schon gesagt, ich habe ABSOLUT KEINE AHNUNG von Sowas!

Vielen Dankhttp://www.netpond.com/images/smilies/pcfite.gif




Logfile of Trend Micro HijackThis v2.0.2


[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Hi und Herlzlich Willkommen

Also von wem oder was bekommst du die Meldung und was heisst es dort genau?

Bitte fixe mit Hijackthis folgende Einträge:

R3 - URLSearchHook: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: (no name) - {0F08F55E-A4D7-4D3A-8264-8F85008100C2} - (no file)
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Adobe Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AusLogics Windows Themes Helper (ALThemeHelper) - Unknown owner - C:\Programme\AusLogics Visual Styler\themehelpersvc.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)

Dein Logfile hat nichts auffälliges:rolleyes:
Wie du aber im Titel schreibst hast den Vundo, dann versuchs mal mit diesem Tool hier:

Also zuerst sagte mir das Aira Antivir, danaach, als ich es nicht löschen konnte, habe ich komplette systemprüfung geamcht. danach wieder mit ashampoo antivirus auch komplett gescannt, hat auch etwas gefunden -> Titel sagt es.
Ich habe soeben auch VundoFix ausgeführt. Aber als ich jetzt hochgefahren habe, sagt mir antivirus, dass nun auch noch andere ordner und auch mein zweiter benutzer von Dateien befallen seien, die auch TR/Vundo sind, aber anders heißen. Es werden immer mehr, und auch in immer anderen ordnern. Ich weiß nicht, was ich noch machen soll, denn ich habe jetzt gerade mal 1 Datei mit Vundo gelöscht, da werden schon wieder 4 neue gemeldet.
P.S: ich habe diese meldungen erst seit ca. 14 uhr heute.

Hört sich nicht gut an:eek:
Bitte lass ComboFix laufen vorher ccleaner anwenden und den Report von ComboFix posten bitte:daumenhoc
Bitte lass auch Malwarebytes laufen und alles löschen lassen was er findet (report posten)

Vielen Dank, die mir bekannten Dateien sind schon mal beseitigt mit ComboFix:


ComboFix 08-04-22.5 - Peter jr 2008-04-23 21:50:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1476 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Peter jr\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ruENoUvw.ini
C:\WINDOWS\system32\ruENoUvw.ini2
C:\WINDOWS\system32\rYHikUtv.ini
C:\WINDOWS\system32\rYHikUtv.ini2
C:\WINDOWS\system32\vtUkiHYr.dll
C:\WINDOWS\system32\wvUkLDSJ.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-23 bis 2008-04-23 ))))))))))))))))))))))))))))))
.

2008-04-23 21:38 . 2008-04-23 21:38 <DIR> d-------- C:\Programme\CCleaner
2008-04-23 20:50 . 2008-04-23 20:50 109,734 --a------ C:\WINDOWS\BMc3bcddae.xml
2008-04-23 20:50 . 2008-04-23 20:50 95,808 --a------ C:\WINDOWS\system32\vwckwqht.dll
2008-04-23 20:50 . 2008-04-23 20:50 93,248 --a------ C:\WINDOWS\system32\nybtggcj.dll
2008-04-23 20:29 . 2008-04-23 21:12 <DIR> d-------- C:\Programme\Locate
2008-04-23 20:29 . 2008-04-23 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Locate32
2008-04-23 19:53 . 2008-04-23 19:53 <DIR> d-------- C:\VundoFix Backups
2008-04-23 19:10 . 2008-04-23 19:10 <DIR> d-------- C:\WINDOWS\Mozilla
2008-04-23 19:08 . 2008-04-23 19:15 <DIR> d-------- C:\Programme\MediaCoder
2008-04-23 18:23 . 2008-04-23 18:23 29 --a------ C:\WINDOWS\system32\c08ffcbc
2008-04-23 14:46 . 2008-04-23 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-04-23 14:19 . 2007-09-27 09:54 692,224 --a------ C:\WINDOWS\system32\~GLH0006.TMP
2008-04-22 16:27 . 2008-04-22 16:27 39 --a------ C:\WINDOWS\pid.ini
2008-04-22 10:59 . 2008-04-22 10:59 75 -r-hs---- C:\WINDOWS\CT4SET.BIN
2008-04-22 10:18 . 2008-04-22 10:18 <DIR> d-------- C:\Downloads
2008-04-22 10:14 . 2008-04-22 10:14 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\NetPumper
2008-04-22 10:14 . 2008-04-22 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford
2008-04-22 10:13 . 2008-04-22 10:22 <DIR> d-------- C:\Programme\NetPumper
2008-04-22 10:06 . 2008-04-22 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-22 08:49 . 2008-04-22 08:49 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-04-21 16:15 . 2008-04-21 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Reallusion
2008-04-21 09:40 . 2008-04-21 09:40 0 --a------ C:\WINDOWS\CleaningLab.INI
2008-04-20 02:39 . 2008-04-21 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-04-13 20:15 . 2008-04-16 14:33 <DIR> d-------- C:\Programme\ROM CHECK FAIL
2008-04-08 22:42 . 2008-04-23 14:34 685 --a------ C:\WINDOWS\BeatBox.INI
2008-04-08 14:07 . 2008-04-23 14:34 28 --a------ C:\WINDOWS\Robota.INI
2008-04-08 14:05 . 2007-04-18 22:07 53,248 --a------ C:\WINDOWS\system32\mgxasio2.dll
2008-04-04 23:31 . 2008-04-04 23:31 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-04 15:37 . 2008-04-22 16:20 <DIR> d-------- C:\Programme\Reallusion
2008-04-04 15:37 . 2008-04-04 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Reallusion
2008-04-04 15:35 . 2008-04-04 15:35 <DIR> d-------- C:\Programme\CrazyTalk4
2008-04-02 22:17 . 2008-04-02 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Apple Computer
2008-04-01 17:07 . 2008-04-01 17:07 <DIR> d-------- C:\Programme\ColorManager 3.1
2008-03-31 22:27 . 2008-03-31 22:28 <DIR> d-------- C:\Programme\QuickTime
2008-03-31 22:27 . 2008-03-31 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-31 22:26 . 2008-03-31 22:26 <DIR> d-------- C:\Programme\Apple Software Update
2008-03-31 22:26 . 2008-03-31 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-03-29 23:37 . 2008-03-29 23:37 <DIR> d-------- C:\Programme\Smiley Extra
2008-03-24 04:09 . 2008-03-24 04:10 <DIR> d-------- C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Cool Record Edit Pro
2008-03-24 04:08 . 2008-03-24 04:08 <DIR> d-------- C:\Programme\CoolRecord

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-23 19:33 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\teamspeak2
2008-04-23 17:20 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\FRITZ!
2008-04-23 16:29 --------- d-----w C:\Programme\TuneUp
2008-04-23 14:07 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-23 11:51 --------- d-s---w C:\Programme\Xfire
2008-04-22 14:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-22 12:10 --------- d-----w C:\Programme\ICQ6
2008-04-22 11:47 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Xfire
2008-04-19 20:41 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\speedyitunes
2008-04-19 18:54 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\dvdcss
2008-04-11 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-08 17:03 --------- d-----w C:\Programme\Magix
2008-04-08 12:07 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\MAGIX
2008-04-08 12:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-29 23:59 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\Skype
2008-03-28 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-23 20:52 --------- d-----w C:\Programme\Bonjour
2008-03-23 20:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-22 15:00 --------- d-----w C:\Programme\Paint.NET
2008-03-21 21:08 --------- d-----w C:\Programme\Boost Speed
2008-03-21 21:08 --------- d-----w C:\Programme\AusLogics Visual Styler
2008-03-21 20:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-19 10:32 --------- d-----w C:\Programme\AutoHotkey
2008-03-18 09:38 --------- d-----w C:\Programme\IMVU
2008-03-18 09:38 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\IMVU
2008-03-16 22:27 --------- d-----w C:\Programme\DirectX
2008-03-15 09:27 160,575 ----a-w C:\WINDOWS\Sqirlz Water Reflections Uninstaller.exe
2008-03-15 09:27 --------- d-----w C:\Programme\Sqirlz Water Reflections
2008-03-13 16:38 --------- d-----w C:\Programme\Trust
2008-03-12 13:38 9,344 ----a-w C:\WINDOWS\system32\drivers\AshAvScan.sys
2008-02-24 11:59 --------- d---a-w C:\Programme\MSN Messenger
2008-02-23 22:37 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\phonostar-Player
2007-11-23 13:17 22,328 ----a-w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\PnkBstrK.sys
2007-06-26 16:37 1 ----a-w C:\Dokumente und Einstellungen\Peter jr\SI.bin
2006-10-24 14:11 2,044 ----a-w C:\Programme\Config.ini
2006-09-16 18:00 1,815,608 ----a-w C:\Programme\!.sav
2006-05-25 05:38 176,128 ----a-w C:\Programme\ddxgb.exe
2007-04-14 16:18 8 --sh--r C:\WINDOWS\system32\472CEAB02B.sys
2007-04-14 16:18 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{efb1c4fc-d867-48cc-9fbd-44106e424cd7}]
2008-04-23 20:50 93248 --a------ C:\WINDOWS\system32\nybtggcj.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MtdAcqu"="C:\Programme\Creative\MediaSource5\MtdAcqu.exe" [2006-03-08 09:56 278528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:48 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"FuzLez WheelsOfVolume"="C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe" [2005-11-24 19:27 487424]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-02-12 12:25 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUkLDSJ]
wvUkLDSJ.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.yv12"= yv12vfw.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"nTuneService"=2 (0x2)
"ClipInc003"=2 (0x2)
"ClipInc002"=2 (0x2)
"ClipInc001"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AresChatServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"Microsoft Update Machine"=cvfatc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Smart PC Solutions\\Magic Speed\\MagicSpeed.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Spiele\\Paintball2\\paintball2.exe"=
"C:\\Spiele\\Rainbow Six Vegas\\RSv\\Binaries\\R6Vegas_Game.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Microsoft XNA\\XNA Game Studio\\v2.0\\Tools\\AudConsole.exe"=
"C:\\WINDOWS\\system32\\dxdiag.exe"=
"C:\\Spiele\\Graffiti Studio 2.0\\Graffiti Studio.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Spiele\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Winamp\\winamp.exe"=
"C:\\Programme\\Ares\\Ares.exe"=
"C:\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 Fadpu16E;Fadpu16E;C:\WINDOWS\System32\Drivers\Fadpu16E.sys [2006-05-25 07:38]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11:41]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-12-31 16:57]
R2 avGuard;avGuard Service;C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe [2008-03-10 13:42]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-12-24 11:44]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-02-12 12:25]
R3 AshAvScan;AshAvScan;C:\WINDOWS\system32\DRIVERS\AshAvScan.sys [2008-03-12 15:38]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-05-24 05:40]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 11:41]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 01:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 01:00]
S2 ACDZone;ArchiCrypt SecureDZone Driver;C:\WINDOWS\system32\drivers\ACDZone.sys []
S2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Programme\Adobe\Adobe Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe []
S2 ALThemeHelper;AusLogics Windows Themes Helper;C:\Programme\AusLogics Visual Styler\themehelpersvc.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 PAC207;SoC PC-Camer@;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-05-27 14:57]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 18:00]
S3 zlportio;zlportio;C:\Spiele\Ultrastar\zlportio.sys []
S4 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
S4 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
S4 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 16:14:46 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp\SystemOptimizer.exe
"2008-04-11 13:01:34 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 22:11:53
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Programme\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-23 22:24:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-23 20:24:21

18 Verzeichnis(se), 6,095,147,008 Bytes frei
21 Verzeichnis(se), 6,373,515,264 Bytes frei

230 --- E O F --- 2008-04-09 12:00:16




Ich lasse jetzt zur sicherheit noch malwarebytes laufen und dann über nacht das system checken.

Ich melde mich morgen, wenn alles komplett beseitigt ist, aber jetzt im voraus schon ein MEGADICKES LOB und DANKESCHÖN, dass alles so schnell geklappt hat und für die schnelle Antwort. Dieses Forum und seine Benutzer ist Gold wert!!!!!http://www.iheartpaws.com/forums/ima...oonaner2gy.gif

Bitte folgende Dateien hier online scanne lassen:

C:\WINDOWS\system32\c08ffcbc
C:\WINDOWS\system32\mgxasio2.dll
C:\WINDOWS\system32\xfcodec.dll
C:\WINDOWS\system32\472CEAB02B.sys
C:\Programme\ddxgb.exe
C:\WINDOWS\system32\nybtggcj.dll

Bitte poste die Ergebnisse und das Ergebniss von Malwarebytes:daumenhoc

Hallo

suche bitte nach dieser Datei
und lass sie ebenfalls auswerten.

MFG

Hallo

Soory hab irgendwie ne Datei übersehen:D
Bitte diese hier noch überprüfen lassen:

C:\WINDOWS\system32\vwckwqht.dll

die datei "cvfatc.exe" existiert bei mir nicht (mehr) und "C:\WINDOWS\system32\vwckwqht.dll" kann nicht zu virustotal gesendet werden: 0 bytes size received / Se ha recibido un archivo vacio


Die restlichen VirusTotal und Malwarebytes Ergebnisse kommen gleich nach!

So, hier wie versprochen die Auswertungen: (habe danach gleich die dateien gelöscht, die malwarebytes angezeigt hat)


Datei c08ffcbc empfangen 2008.04.24 16:28:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei xfcodec.dll empfangen 2008.04.24 16:39:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Ich: Die Datei "C:\WINDOWS\system32\472CEAB02B.sys"
existiert auf meinem system nicht mehr,wurde wohl schon entfernt.

Datei mgxasio2.dll empfangen 2008.04.24 16:37:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Ich: Die Datei "C:\WINDOWS\system32\nybtggcj.dll"
existiert auf meinem system nicht mehr.

Datei ddxgb.exe empfangen 2008.04.24 16:44:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)


Das waren die VirusTotal.com/de Ergebnisse.

Malwarebytes-Ergebnisse:


Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 219386
Scan Dauer: 1 hour(s), 54 minute(s), 15 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\Smart PC Solutions\Magic Speed\asc4.dll (Rogue.VirusRanger) -> Quarantined and deleted successfully.
C:\Programme\Smart PC Solutions\Magic Speed\stopapi4.dll (Rogue.VirusRanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AC150375-00BD-4783-9214-C3CCFB1CEA44}\RP702\A0290312.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
http://smileyonline.free.fr/images/g...535672_gif.gif

Das finde ich etwas ungewöhnlich... hattest du die Firewall aus??
Hast noch irgendwelche Probleme??
Lass bitte nochmals ComboFix laufen:daumenhoc
Bitte versuche mal die Datein die du auf VirusTotal hochladen solltest per "Suche" Funktion zu finden:daumenhoc

Jetzt noch mal ganz offiziell:
Virus, bitte wende Combofix nicht an, wenn Du Dich damit nicht wenigstens etwas auskennst!

Fatpet:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif


6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

:schrei: Ich krieg gleich die Krise!!!!!
Dieses Board koooozt mich langsam so was von!!!!!!
Man kann 20, 30, usern erfolgreich helfen und man wird ständig nur dämlich angemacht man habe keine Ahnung:koch::koch::koch::koch::koch::koch:

@ Administrator
Lösch bitte meinen Account!!! Das kozzzt mich wirklich an hier:schrei:
Man hilf (erfolgreich) und wird nur dämlich angemacht!!! Das hab ich nicht nötig...
Ich geh lieber bei den anderen Boards posten wo man geschäzt wird!!!

@GCSunny
Danke für deine Tipps die du mir gegeben hast

Bleib doch mal locker. :Boogie:
Wer hat Dich denn blöd angemacht?

Schau mal einen post unter mir:daumenhoc
BataAlexander meckert ständig rum!!! Das ist nicht das erste mal!!
"ich hätte da nicht killbox angewendet sonder The avenger" "combofix ist für das nicht geeignet" usw. ständig seine dämliche komentare kotzen mich an... alle ander das heisst; du gcsunny, bosten und alle anderen hier finde ich SUPER aber BataAlexander nervt!!!!

Klartext: Ich werde in diesem Board sicher nicht mehr posten:mad:
Ich mache meine Angefangen Threads fertig und dann könnt ihr meinen Account löschen.

@Virus

Ich habe dich per PN schon desöfteren kontaktiert um dir gewisse Schritte (gerade bei Combofix) zu erklären, in diesem Zuge erklärte ich dir auch das du sehr engagiert bist :daumenhoc jedoch noch viel lesen und verstehen musst was die einzelnen Bereinigungsprogramme machen bzw. wie wir hier auf dem Board mit infizierten Systemen umgehen. ;)

Das Combofix ist kein Antivirenprogramm oder andere Anti-Malware-Tool wie Spybot, sondern es greift in tiefere Systemprozesse ein wodurch auch sehr viel zerstört werden kann!
Der Hinweis von bataalexander sollte dich nicht an den Pranger stellen, sondern darauf aufmerksam machen das du noch verstehen sollst wie das Programm arbeitet.

Überdenke deine Entscheidung nochmal, niemand ist hier gegen dich, jedoch solltest du auch mal einen Rat annehmen, so wie du es bei mir per PN auch getan hast. :)

Gruß´
Sunny

Ich weiss nicht wiso ihr glaubt ich habe keine Ahnung:confused:
Wahrscheinlich weil ich 16 bin glauben alle das ich ein Vollidiot bin...
Ich weiss was ComboFix ist!! Ich weiss auch wie man Scriptet (mit ComboFix):mad:
Is mir langsam e egal also wie schon gesagt, danke an die die mir kleine Tipps gegeben haben aber solch dämliche Kommentare von BataAlexander brauch ich nicht mehr zu hören:daumenhoc

Meinen Account könnt ihr löschen:daumenhoc
Vielen Dank

Und an alle Helfer hier, viel Erfolg bei der Bekämpfung von Malware für die Zukunft:daumenhoc Ihr macht einen guten Job

Ach darum gehts. :)
@virus, lerne doch mal etwas mit Kritik umzugehen, ich denke nicht, dass diese von Bata unberechtigt war - und sie war auch sachlich. Bleib also etwas hier, das wäre etwas voreilig deswegen alles hinzuschemißen. Gönn Dir ne kleine Auszeit, rauch eine und denk drüber nach, daß eben nicht nur die anderen schuld haben. :rolleyes:

Sunny hats ja gut auf den Punkt gebracht, dem kann ich nur zustimmen! :daumenhoc

In diesem Sinne, nicht kotzen sondern :party: :aplaus:

Naja wie auch immer...
Ich bin eigentlich immer offen für Kritik und freue mich auch darüber;)
Frag mal GCSunny wie ich auf seine Tipps reagiert habe:daumenhoc
An dieser Stelle bitte ich auch alle diejenigen bei denen ich nicht dankbar reagiert habe sich zu melden:daumenhoc (BataAlexander ausgeschlossen)

Tschüss:party:

Du hast dich dankbar und lernbereit gezeigt, hast auch teilweise das umgesetzt was ich dir empfohlen habe. ;)
Das gleiche was ich dir geschrieben habe, hat sicherlich auch bata in seiner Art und Weise versucht zu übermitteln.

Was ich jetzt aber verurteile ist, das du Bata in einer öffentlichen Diskussion "am Kragen packst" und nun ihn als "blöden Besserwisser" hinstellst.
Er hat dich per Privat Nachricht über Fehler oder Unstimmigkeiten aufmerksam gemacht, ohne großes Aufsehen. ;)


Wenn noch Fragen sind, dann bitte im Forum Lob, Kritik und Wünsche schreiben, wir haben hier genug Off-Topic geschrieben, jetzt bitte wieder zurück zum eigentlichen Problem des TO!>

Ist er auch:schrei:
Lies zum Beispiel mal diesen Thread ganz durch:daumenhoc

Hier das Logfile:

ComboFix 08-04-22.5 - *** 2008-04-25 13:42:02.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1599 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\BMc3bcddae.xml
C:\WINDOWS\system32\~GLH0006.TMP
C:\WINDOWS\system32\c08ffcbc
C:\WINDOWS\system32\nybtggcj.dll
C:\WINDOWS\system32\vwckwqht.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\third lies itch ford
C:\Programme\NetPumper
C:\VundoFix Backups
C:\WINDOWS\BMc3bcddae.xml
C:\WINDOWS\system32\~GLH0006.TMP
C:\WINDOWS\system32\c08ffcbc
C:\WINDOWS\system32\vwckwqht.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-25 bis 2008-04-25 ))))))))))))))))))))))))))))))
.

2008-04-24 23:37 . 2008-04-24 23:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-24 23:37 . 2008-04-24 23:37 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-24 21:00 . 2008-04-24 21:00 <DIR> d-------- C:\Programme\XMedia Recode
2008-04-24 20:50 . 2008-04-24 20:53 <DIR> d-------- C:\Programme\Gabest
2008-04-24 20:36 . 2008-04-24 20:36 <DIR> d-------- C:\Programme\QuickTime
2008-04-24 20:36 . 2008-04-24 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-24 20:35 . 2008-04-24 20:35 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-24 20:35 . 2008-04-24 20:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-24 20:30 . 2008-04-24 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-04-24 20:30 . 2008-04-24 20:30 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-04-24 20:29 . 2008-04-24 20:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-04-24 18:54 . 2008-04-24 18:54 <DIR> d-------- C:\WINDOWS\65F1CF6331E0450B96F34A88BE7361A6.TMP
2008-04-23 22:32 . 2008-04-23 22:32 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-04-23 22:31 . 2008-04-23 22:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-23 22:31 . 2008-04-23 22:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-23 21:38 . 2008-04-23 21:38 <DIR> d-------- C:\Programme\CCleaner
2008-04-23 20:29 . 2008-04-23 21:12 <DIR> d-------- C:\Programme\Locate
2008-04-23 20:29 . 2008-04-23 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Locate32
2008-04-23 19:10 . 2008-04-23 19:10 <DIR> d-------- C:\WINDOWS\Mozilla
2008-04-23 19:08 . 2008-04-24 20:58 <DIR> d-------- C:\Programme\MediaCoder
2008-04-23 14:46 . 2008-04-23 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-04-22 16:27 . 2008-04-22 16:27 39 --a------ C:\WINDOWS\pid.ini
2008-04-22 10:59 . 2008-04-22 10:59 75 -r-hs---- C:\WINDOWS\CT4SET.BIN
2008-04-22 10:18 . 2008-04-22 10:18 <DIR> d-------- C:\Downloads
2008-04-22 10:06 . 2008-04-22 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-22 08:49 . 2008-04-22 08:49 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-04-21 16:15 . 2008-04-21 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Reallusion
2008-04-21 09:40 . 2008-04-21 09:40 0 --a------ C:\WINDOWS\CleaningLab.INI
2008-04-20 02:39 . 2008-04-21 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-04-13 20:15 . 2008-04-16 14:33 <DIR> d-------- C:\Programme\ROM CHECK FAIL
2008-04-08 22:42 . 2008-04-23 14:34 685 --a------ C:\WINDOWS\BeatBox.INI
2008-04-08 14:07 . 2008-04-23 14:34 28 --a------ C:\WINDOWS\Robota.INI
2008-04-08 14:05 . 2007-04-18 22:07 53,248 --a------ C:\WINDOWS\system32\mgxasio2.dll
2008-04-04 23:31 . 2008-04-04 23:31 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-04 15:37 . 2008-04-22 16:20 <DIR> d-------- C:\Programme\Reallusion
2008-04-04 15:37 . 2008-04-04 15:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Reallusion
2008-04-04 15:35 . 2008-04-04 15:35 <DIR> d-------- C:\Programme\CrazyTalk4
2008-04-02 22:17 . 2008-04-02 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2008-04-01 17:07 . 2008-04-01 17:07 <DIR> d-------- C:\Programme\ColorManager 3.1
2008-03-29 23:37 . 2008-03-29 23:37 <DIR> d-------- C:\Programme\Smiley Extra
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
5 Datei(en) . 23,952 C:\ComboFix\Bytes
3 Datei(en) . 399 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 22:13 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2008-04-24 20:12 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-24 20:05 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-04-24 18:53 --------- d-----w C:\Programme\AviSynth 2.5
2008-04-24 18:33 --------- d-----w C:\Programme\Java
2008-04-24 18:30 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-04-24 16:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart PC Solutions
2008-04-24 16:58 --------- d-----w C:\Programme\Irfanview
2008-04-24 16:58 --------- d-----w C:\Programme\IE7Pro
2008-04-24 16:56 --------- d-----w C:\Programme\Ashampoo
2008-04-24 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-23 16:29 --------- d-----w C:\Programme\TuneUp
2008-04-23 11:51 --------- d-s---w C:\Programme\Xfire
2008-04-22 14:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-22 12:10 --------- d-----w C:\Programme\ICQ6
2008-04-22 11:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-04-19 20:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\speedyitunes
2008-04-19 18:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-04-11 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-08 17:03 --------- d-----w C:\Programme\Magix
2008-04-08 12:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\MAGIX
2008-04-08 12:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-28 14:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-03-24 02:10 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Cool Record Edit Pro
2008-03-24 02:08 --------- d-----w C:\Programme\CoolRecord
2008-03-23 20:52 --------- d-----w C:\Programme\Bonjour
2008-03-22 15:00 --------- d-----w C:\Programme\Paint.NET
2008-03-21 21:08 --------- d-----w C:\Programme\Boost Speed
2008-03-21 21:08 --------- d-----w C:\Programme\AusLogics Visual Styler
2008-03-21 20:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-19 10:32 --------- d-----w C:\Programme\AutoHotkey
2008-03-18 09:38 --------- d-----w C:\Programme\IMVU
2008-03-18 09:38 --------- d-----w C:\Dokumente und Einstellungen\Peter jr\Anwendungsdaten\IMVU
2008-03-16 22:27 --------- d-----w C:\Programme\DirectX
2008-03-15 09:27 160,575 ----a-w C:\WINDOWS\Sqirlz Water Reflections Uninstaller.exe
2008-03-15 09:27 --------- d-----w C:\Programme\Sqirlz Water Reflections
2008-03-13 16:38 --------- d-----w C:\Programme\Trust
2008-03-12 13:38 9,344 ----a-w C:\WINDOWS\system32\drivers\AshAvScan.sys
2007-11-23 13:17 22,328 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys
2007-06-26 16:37 1 ----a-w C:\Dokumente und Einstellungen\Peter jr\SI.bin
2006-10-24 14:11 2,044 ----a-w C:\Programme\Config.ini
2006-09-16 18:00 1,815,608 ----a-w C:\Programme\!.sav
2006-05-25 05:38 176,128 ----a-w C:\Programme\ddxgb.exe
2007-04-14 16:18 8 --sh--r C:\WINDOWS\system32\472CEAB02B.sys
2007-04-14 16:18 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Programme\!.sav ----

C:\Programme\!.sav\


((((((((((((((((((((((((((((( snapshot@2008-04-23_22.24.06.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-24 16:54:07 155,648 ----a-w C:\WINDOWS\65F1CF6331E0450B96F34A88BE7361A6.TMP\WiseCustomCalla.dll
- 2008-04-23 20:01:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-25 11:48:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-03-31 20:26:40 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe
+ 2008-04-24 18:35:05 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe
- 2006-04-12 08:47:22 217,073 ----a-w C:\WINDOWS\meta4.exe
+ 2006-04-12 07:47:22 217,073 ----a-w C:\WINDOWS\meta4.exe
- 2007-07-11 23:22:00 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-02-21 23:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-07-11 23:22:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-02-21 23:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-07-12 00:22:38 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-02-22 00:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2007-11-21 00:52:38 2,884,992 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
+ 2008-03-25 03:21:18 2,889,088 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
- 2007-11-21 00:52:40 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2008-03-25 03:21:20 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
- 2008-02-16 09:27:51 70,264 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
+ 2008-04-25 11:21:34 70,264 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-04-23 14:01:17 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
+ 2008-04-24 20:10:51 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
- 2007-11-13 08:31:46 399,360 ----a-w C:\WINDOWS\system32\Smab.dll
+ 2008-02-07 14:15:06 408,576 ----a-w C:\WINDOWS\system32\Smab.dll
- 2008-03-21 21:15:58 2,331,136 ----a-w C:\WINDOWS\system32\TUKernel.exe
+ 2008-04-24 18:39:11 2,331,136 ----a-w C:\WINDOWS\system32\TUKernel.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 15:48 262401]
"FuzLez WheelsOfVolume"="C:\Programme\FuzLez\WheelsOfVolume\WheelsOfVolume.exe" [2005-11-24 19:27 487424]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-02-12 12:25 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"VIDC.VP31"= vp31vfw.dll
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"nTuneService"=2 (0x2)
"ClipInc003"=2 (0x2)
"ClipInc002"=2 (0x2)
"ClipInc001"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AresChatServer"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MtdAcqu"="C:\Programme\Creative\MediaSource5\MtdAcqu.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Spiele\\Paintball2\\paintball2.exe"=
"C:\\Spiele\\Rainbow Six Vegas\\RSv\\Binaries\\R6Vegas_Game.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Microsoft XNA\\XNA Game Studio\\v2.0\\Tools\\AudConsole.exe"=
"C:\\WINDOWS\\system32\\dxdiag.exe"=
"C:\\Spiele\\Graffiti Studio 2.0\\Graffiti Studio.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Spiele\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Winamp\\winamp.exe"=
"C:\\Programme\\Ares\\Ares.exe"=
"C:\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 Fadpu16E;Fadpu16E;C:\WINDOWS\System32\Drivers\Fadpu16E.sys [2006-05-25 07:38]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11:41]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-12-31 16:57]
R2 avGuard;avGuard Service;C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe [2008-03-10 13:42]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2006-12-24 11:44]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-02-12 12:25]
R3 AshAvScan;AshAvScan;C:\WINDOWS\system32\DRIVERS\AshAvScan.sys [2008-03-12 15:38]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-05-24 05:40]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 11:41]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 01:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 01:00]
S2 ACDZone;ArchiCrypt SecureDZone Driver;C:\WINDOWS\system32\drivers\ACDZone.sys []
S2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Programme\Adobe\Adobe Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe []
S2 ALThemeHelper;AusLogics Windows Themes Helper;C:\Programme\AusLogics Visual Styler\themehelpersvc.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 PAC207;SoC PC-Camer@;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-05-27 14:57]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 18:00]
S3 zlportio;zlportio;C:\Spiele\Ultrastar\zlportio.sys []
S4 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
S4 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
S4 ClipInc003;ClipInc 003;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 003 []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 16:14:46 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp\SystemOptimizer.exe
"2008-04-24 18:35:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-11 13:01:34 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 13:49:20
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Programme\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-25 14:01:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-25 12:01:41
ComboFix2.txt 2008-04-23 20:24:30

18 Verzeichnis(se), 5,829,009,408 Bytes frei
21 Verzeichnis(se), 5,843,496,960 Bytes frei

280 --- E O F --- 2008-04-09 12:00:16



Frage: Ich habe in einem anderen Forum gelesen, dass man, wenn alles gesäubert ist, die systemwiederherstellungspunkte oder so löschen soll. stimmt das?

Wie siehts aus? Meldungen? Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.

ok, werde ich jetzt machen. muss ich danach dann die systemwiederherstellungspunkte löschen?

Lass uns das Avira Log mal abwarten.

Ok, dass wäre dann spätestens heute Abend fertig, dann poste ich es.
Zwischendurch hat Avira gerade eine Meldung zu C:\Vundofix gemacht, ist das normal? Kann es sein, dass in dem Vundofix Ordner die Trojaner drinstecken, nachdem sie von Vundofix gelöscht wurden?

Das ist normal, da ist ein Backup drin.

ok. Avira ist jetzt genau bei 25.1%

Tut mir Leid, ich war die letzte Woche leider nicht zu Hause, deswegen reiche ich das Antivir-Log nach:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 3. Mai 2008 01:11

Es wird nach 1248213 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NAME-39B7D1D4DC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 17.04.2008 13:48:47
AVSCAN.DLL : 8.1.1.0 57601 Bytes 17.04.2008 13:48:47
LUKE.DLL : 8.1.2.9 151809 Bytes 17.04.2008 13:48:47
LUKERES.DLL : 8.1.2.0 12545 Bytes 17.04.2008 13:48:47
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 16:41:01
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 20:02:33
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 17:22:51
ANTIVIR3.VDF : 7.0.3.243 276992 Bytes 02.05.2008 16:41:00
Engineversion : 8.1.0.37
AEVDF.DLL : 8.1.0.5 102772 Bytes 17.04.2008 13:48:48
AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 16:13:52
AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 16:13:51
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 13:04:43
AEPACK.DLL : 8.1.1.4 364918 Bytes 30.04.2008 16:13:51
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 14:02:34
AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 16:13:50
AEHELP.DLL : 8.1.0.14 115063 Bytes 20.04.2008 14:02:34
AEGEN.DLL : 8.1.0.18 299381 Bytes 25.04.2008 13:04:37
AEEMU.DLL : 8.1.0.5 430450 Bytes 17.04.2008 13:48:48
AECORE.DLL : 8.1.0.27 168310 Bytes 20.04.2008 14:02:33
AVWINLL.DLL : 1.0.0.7 14593 Bytes 17.04.2008 13:48:47
AVPREF.DLL : 8.0.0.1 25857 Bytes 17.04.2008 13:48:47
AVREP.DLL : 7.0.0.1 155688 Bytes 23.04.2007 14:27:05
AVREG.DLL : 8.0.0.0 30977 Bytes 17.04.2008 13:48:47
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 13:48:47
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 17.04.2008 13:48:47
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 13:48:47
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 17.04.2008 13:48:47
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 13:48:47
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 17.04.2008 13:48:40
RCTEXT.DLL : 8.0.32.0 86273 Bytes 17.04.2008 13:48:40

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, J:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 3. Mai 2008 01:11

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GuardGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WheelsOfVolume.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ashAvSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\Fadpu16E.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'J:\' <Festplatte 2>
J:\Florian\Lokale Einstellungen\Temp\~YGB.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300354 (Dialer)
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG]
J:\Florian\Lokale Einstellungen\Temp\~YGC.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300354 (Dialer)
[WARNUNG] Die Datei wurde ignoriert.
J:\System Volume Information\_restore{AC150375-00BD-4783-9214-C3CCFB1CEA44}\RP718\A0300030.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/300354 (Dialer)
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Samstag, 3. Mai 2008 10:14
Benötigte Zeit: 9:03:32 min

Der Suchlauf wurde vollständig durchgeführt.

17411 Verzeichnisse wurden überprüft
689820 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
689817 Dateien ohne Befall
15980 Archive wurden durchsucht
6 Warnungen
0 Hinweise

Hast du deinen Guard und Firewall abgeschaltet??
Wenn nicht versuchs mal:daumenhoc
Lass bitte mal Ccleaner laufen...

Bitte mach auch folgendes
deaktivieren der Systemwiederherstellung