VUndo und andere komsiche sachen
 

Okay dann nochmal von vorne da mein Beitrag zu ungenau war

Vor ein paar Tagen kam die Meldung von antivir das ich vundo habe und ich dachte es reicht einfach delete zu drücken, aber es kam imemr wieder und wieder und mein rechner lief auch langsamer. Dann wollte ich andere programme ausprobieren und habe avast installiert und nun auch Anti-Malware und Fixvundo. fixvundo hat dann angeblich den Trojaner gelöscht, aber dann kam von antivir die meldung, dass ich auf einmal monder habe den trojaner. Ich habe avast wieder deinstalliert, da sich 2 antivirenprogramme behindern. Und seit gerade eben krieg ich blue screens wenn ich Anti-malware laufen lassen will und beim start kommt immer seit ein paar stunden : Fehler beim Laden con C:\Windows\system32\efcAQHAQ.dll. DFas angegeben Modul wurde nicht gefunden.

Mein System ist Vista un der Rechner ist ca. einen Monat alt. hoffe das reicht und ist ausführlich genug.

Hallo Luk3 und

http://www.mysmilie.de/generator/ablage/156/257.png



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo Sunny

und zwar ist das dabei heraus gekommen

ComboFix 08-06-16.5 - Luk3 2008-06-18 19:38:58.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1383 [GMT 2:00]
ausgeführt von:: C:\Users\Luk3\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Windows\System32\MoqYayay.ini
C:\Windows\System32\MoqYayay.ini2
C:\Windows\system32\opnlKAqR.dll
C:\Windows\System32\RqAKlnpo.ini
C:\Windows\System32\RqAKlnpo.ini2
C:\Windows\System32\uvFOoUvw.ini
C:\Windows\System32\uvFOoUvw.ini2
C:\Windows\system32\yayaYqoM.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-18 bis 2008-06-18 ))))))))))))))))))))))))))))))
.

2008-06-18 19:25 . 2008-06-18 19:25 <DIR> d-------- C:\Program Files\CCleaner
2008-06-18 18:33 . 2008-06-18 18:36 69 --a------ C:\Windows\NeroDigital.ini
2008-06-17 21:27 . 2008-06-17 21:27 <DIR> d-------- C:\Users\Luk3\AppData\Roaming\Malwarebytes
2008-06-17 21:27 . 2008-06-17 21:27 <DIR> d-------- C:\Users\All Users\Malwarebytes
2008-06-17 21:27 . 2008-06-17 21:27 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-17 21:27 . 2008-06-10 19:02 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
2008-06-17 21:27 . 2008-06-10 19:02 15,864 --a------ C:\Windows\System32\drivers\mbam.sys
2008-06-17 20:47 . 2008-06-14 18:43 58,880 --a------ C:\Windows\System32\vtUooLfc.dll
2008-06-17 20:12 . 2008-06-17 20:12 0 --ah----- C:\ntuser.dat.LOG2
2008-06-17 20:12 . 2008-06-17 20:12 0 --ah----- C:\ntuser.dat.LOG1
2008-06-17 20:12 . 2008-06-17 20:12 0 --a------ C:\ntuser.dat
2008-06-17 20:00 . 2008-06-17 20:00 <DIR> d-------- C:\Program Files\Trend Micro
2008-06-17 19:19 . 2008-06-17 19:19 <DIR> d-------- C:\Program Files\Alwil Software
2008-06-17 19:18 . 2008-06-17 19:39 <DIR> d-a------ C:\Users\All Users\TEMP
2008-06-16 23:16 . 2008-06-16 23:16 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-06-15 10:53 . 2008-04-23 06:42 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-06-15 10:53 . 2008-04-23 06:42 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-06-15 10:53 . 2008-04-23 06:41 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-06-15 10:53 . 2008-04-23 06:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-06-14 18:52 . 2008-06-14 18:52 <DIR> d-------- C:\Program Files\NeroInstall.bak
2008-06-14 18:51 . 2008-06-14 18:51 <DIR> d-------- C:\Users\Luk3\AppData\Roaming\Nero
2008-06-14 18:48 . 2008-06-14 18:48 <DIR> d-------- C:\Users\All Users\Nero
2008-06-14 18:48 . 2008-06-14 18:48 <DIR> d-------- C:\Program Files\Nero
2008-06-14 18:48 . 2008-06-14 18:49 <DIR> d-------- C:\Program Files\Common Files\Nero
2008-06-14 18:44 . 2008-06-14 18:44 <DIR> d-------- C:\Program Files\AskTBar
2008-06-11 17:07 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-06-11 17:07 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-06-11 17:07 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll
2008-06-11 17:07 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-05-28 17:20 . 2008-03-08 04:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-05-28 17:20 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 16:48 --------- d-----w C:\Users\Luk3\AppData\Roaming\Azureus
2008-06-11 18:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-13 07:27 --------- d-----w C:\Users\Luk3\AppData\Roaming\vlc
2008-05-08 17:35 --------- d-----w C:\Program Files\Avira
2008-05-08 17:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-05-06 16:40 --------- d-----w C:\Program Files\Common Files\INCA Shared
2008-05-06 15:40 --------- d-----w C:\Program Files\Java
2008-05-06 15:35 --------- d-----w C:\Program Files\Common Files\Java
2008-05-06 15:30 --------- d-----w C:\Users\Luk3\AppData\Roaming\Winamp
2008-05-06 15:26 --------- d-----w C:\Program Files\VideoLAN
2008-05-06 15:25 646,392 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-05-06 15:23 --------- d-----w C:\Program Files\Azureus
2008-05-06 15:04 --------- d-----w C:\Users\Luk3\AppData\Roaming\ICQ
2008-05-06 15:04 --------- d-----w C:\Program Files\ICQ6
2008-05-06 15:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-06 14:47 --------- d-----w C:\Program Files\Winamp
2008-05-06 05:00 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-05-05 21:00 --------- d-----w C:\Program Files\Microsoft Works
2008-05-05 20:30 --------- d-----w C:\Users\Luk3\AppData\Roaming\Symantec
2008-05-05 20:25 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-04-18 03:52 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-01-21 02:43 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((( snapshot@2008-06-18_19.35.04.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-18 17:33:19 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-06-18 17:33:19 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-06-18 17:33:29 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-06-18 17:34:51 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-06-18 17:34:51 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-06-18 17:33:29 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-06-18 17:34:46 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-06-18 17:34:46 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-06-18 16:20:33 122,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-06-18 17:38:43 122,636 ----a-w C:\Windows\System32\perfc007.dat
- 2008-06-18 16:20:33 101,052 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-06-18 17:38:43 101,052 ----a-w C:\Windows\System32\perfc009.dat
- 2008-06-18 16:20:33 618,192 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-06-18 17:38:43 618,192 ----a-w C:\Windows\System32\perfh007.dat
- 2008-06-18 16:20:33 586,980 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-06-18 17:38:43 586,980 ----a-w C:\Windows\System32\perfh009.dat
- 2008-06-18 16:17:12 7,246 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1052943479-1435492500-528075918-1000_UserData.bin
+ 2008-06-18 17:35:09 7,652 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1052943479-1435492500-528075918-1000_UserData.bin
- 2008-06-18 16:17:12 72,596 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-06-18 17:35:09 72,666 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-02-13 14:52 4915200 C:\Windows\RtHDVCpl.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-12-11 18:06 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-11 18:06 8530464]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-08 19:38 262401]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\Windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2008-02-28 17:07 1828136 C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-10-18 16:27 455968 C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2008-02-18 16:29 2221352 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-11 18:06 81920 C:\Windows\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
--a------ 2007-03-12 11:05 225280 C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
--a------ 2008-01-21 04:23 1233920 C:\Program Files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2008-01-21 04:23 1008184 C:\Program Files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]
--a------ 2008-01-21 04:23 2153472 C:\Windows\System32\oobefldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0A13DFB5-490C-4B74-9A5C-F19A01490C35}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{A3AE5B3C-3818-405E-988E-B43C9B24252D}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{DD283801-BD0B-42A7-A45F-C6E56B282ADB}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{E21291CF-176D-4DBD-AF07-E59CFC7B1B1A}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{AC881DFE-C3C5-4898-A22D-930B4B77C6D5}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{2A7A8A03-D004-4EE7-A639-79908B7A6CAB}A:\\games\\rakion\\bin\\rakion.bin"= UDP:A:\games\rakion\bin\rakion.bin:rakion
"UDP Query User{AAD8C1D3-5248-41F8-A8CB-FE9ACF20314E}A:\\games\\rakion\\bin\\rakion.bin"= TCP:A:\games\rakion\bin\rakion.bin:rakion
"TCP Query User{1673AA0D-680F-4E18-BD4A-0C54F93E2395}C:\\program files\\azureus\\azureus.exe"= UDP:C:\program files\azureus\azureus.exe:Azureus
"UDP Query User{84D13CED-CFF8-4FCA-B5FB-EA42C073BFD9}C:\\program files\\azureus\\azureus.exe"= TCP:C:\program files\azureus\azureus.exe:Azureus
"TCP Query User{0AD1753C-771A-4267-87A6-6446371EEDFF}A:\\games\\softnyx\\gunboundwc\\gunbound.gme"= UDP:A:\games\softnyx\gunboundwc\gunbound.gme:GunBound
"UDP Query User{7491FFBB-2D42-4A51-BAB6-AD6DD6A5194D}A:\\games\\softnyx\\gunboundwc\\gunbound.gme"= TCP:A:\games\softnyx\gunboundwc\gunbound.gme:GunBound
"TCP Query User{52E4E966-EBFC-4441-8E67-72D65AB28AD5}A:\\games\\softnyx\\gunboundwc\\gunbound.gme"= UDP:A:\games\softnyx\gunboundwc\gunbound.gme:GunBound
"UDP Query User{31FC0E68-ED4A-4101-ABAD-F6D6112C3BA6}A:\\games\\softnyx\\gunboundwc\\gunbound.gme"= TCP:A:\games\softnyx\gunboundwc\gunbound.gme:GunBound
"TCP Query User{2695DDEB-4221-4534-A947-54D9607FEB2A}A:\\games\\rakion\\bin\\rakion.bin"= UDP:A:\games\rakion\bin\rakion.bin:rakion
"UDP Query User{4B727D43-7FDE-434B-876F-17E0D19D1E61}A:\\games\\rakion\\bin\\rakion.bin"= TCP:A:\games\rakion\bin\rakion.bin:rakion
"TCP Query User{8F2400FA-6DFF-45AA-AEF6-78CE614B4575}A:\\games\\neuer ordner\\war3.exe"= UDP:A:\games\neuer ordner\war3.exe:Warcraft III
"UDP Query User{66943CA6-3D83-4E57-8D40-2F9BCE9701BB}A:\\games\\neuer ordner\\war3.exe"= TCP:A:\games\neuer ordner\war3.exe:Warcraft III

S3 MBAMCatchMe;MBAMCatchMe;C:\Windows\system32\drivers\mbamcatchme.sys [2008-06-10 19:02]
S4 ErrDev;Microsoft Hardware Error Device Driver;C:\Windows\system32\drivers\errdev.sys [2008-01-21 04:23]
S4 MegaSR;MegaSR;C:\Windows\system32\drivers\megasr.sys [2008-01-21 04:23]
S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-10-31 12:23]
S4 O2MDRDR;O2MDRDR;C:\Windows\system32\drivers\o2media.sys [2005-08-05 04:51]
S4 O2SDRDR;O2SDRDR;C:\Windows\system32\drivers\o2sd.sys [2005-12-19 11:15]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-06-18 17:01:00 C:\Windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-18 19:40:18
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-18 19:41:05
ComboFix-quarantined-files.txt 2008-06-18 17:41:02

8 Verzeichnis(se), 155,458,228,224 Bytes frei
15 Verzeichnis(se), 155,429,593,088 Bytes frei

194 --- E O F --- 2008-06-15 10:12:15