Trojaner-Board - TR/Vundo.EMO

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Vundo.EMO (https://www.trojaner-board.de/54317-tr-vundo-emo.html)

Hallo
Habe seit ca. einem Monat den Virus mit dem malerischen Namen TR/Vundo.EMO. hab natürlich überall im Inet geguckt was das ist und wie es wegbekomme. Und genau da ist mein Problem (bzw es sind zwei)
1. Hatte irgendwie nie jemanden nen TR/Vundo.EMO (sonder.gen oder so)
2. Bin ich ne frau die absolut keine, also wirklich garkeine Ahnung von PC's hat.
Hatte mir die Problembehebungsvorschläge angeguckt aber kein Wort verstanden.

Kann mir das Irgendwer so erklären, dass ich es verstehe?

Wäre sau lieb, weil mich dieser Virus mitlerweile echt fertig macht!!!

ciao ciao Femme

Ach ja ich habe Windows XP und Antivir als Virenschutz (falls das wichtig ist).

Hi,

erstell bitte ein Log mit Hijackthis und eins mit Malwarebytes und lass alles löschen, was gefunden wird und poste beide Logs hier.

lg myrtille

so?

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Astrid\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {391A2CE3-5252-4630-9FEC-6065A41E14E7} - (no file)
O2 - BHO: (no name) - {4A8E089D-063C-4CB7-A88C-05A0B293AAAB} - C:\WINDOWS\system32\pmnnliiG.dll (file missing)
O2 - BHO: (no name) - {4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E} - C:\WINDOWS\system32\mlJCtsPF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {E01B7F14-2CA0-45BC-A425-B1B9A5E21483} - C:\WINDOWS\system32\qoMdCTJD.dll (file missing)
O2 - BHO: (no name) - {F65C3ACB-3F51-4091-9110-0BA09B257FCA} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: pvnsmfor - {755F70ED-8112-4AEA-B77B-E11296C79DA7} - C:\WINDOWS\pvnsmfor.dll (file missing)
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SSCFBTN.EXE] SSCFBTN.EXE
O4 - HKLM\..\Run: [fc9bfd44] rundll32.exe "C:\WINDOWS\system32\bcpgjehe.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: mlJCtsPF - C:\WINDOWS\SYSTEM32\mlJCtsPF.dll
O21 - SSODL: pxgdslro - {DA3A4DC7-0360-4594-BB19-C9C1DE2A2C50} - C:\WINDOWS\pxgdslro.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6541 bytes

Bei dem Logfile fehlt der Kopf!
Gehe wie hier in der Anleitung zu HiJackThis vor.
Nutze auch Malwarebytes und poste auch dessen Log hier.

Sorry, aber was muss ich machen um an den Kopf des Dingsbums zu kommen? bzw was hab ich vergessen/falsch gemacht?

Hab doch alles nach Anleitung gemacht?!?

(Ist das eigentlich der einzige Weg um einen Trojaner weg zubekommen? Wieso kann mein Antivir das ner weg machen?)

Weil ein gemeiner, böser wandlungsfähiger Schädling ist. :(

Fange bitte mit dem Malwarebytes Log an, es kann sein das Du den Rechner neu starten musst.

Dann erstelle ein neues HiJackThis Logfile und kopiere den gesamten Text aus dem Notepad.

Ok läuft, dauert wohl noch etwas.
Wieso hab ich den virus? ich öffne nie emails von denen ich nicht den Absender kenne oder lade sachen aus dem Netz. Allerdings hab ich meinen Bruder mal an den rechner gelassen der hat sich dann irgendnen scheiß ausm netz gezogen, seitdem hab ich das.

ist das denn ein anderer Virus weil der mit .EMo endet? Alle anderen haben ja .Gen oder so.

Deine Infektion hat viele Namen. Allerdings muss man heute nicht mal mehr tätig werden um infiziert zu werden, dass muss nicht mal Dein Bruder gewesen sein.
Warten wir den Scanbericht ab.

Das programm hat sich nach über einer Stunde suchen aufgehangen...war ja klar.

Meine Leitung ist extrems langsam... *arg*

Was nun? Alles nochmal neu?

Blöd, und bitte ja nochmal starten.

hab das unterbrochen, damit das nicht wieder abstürzen kann. Ich glaube insgesammt sind es 12 Funde oder verdächtigte Dateien oder so.

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 871

15:44:11 20.06.2008
mbam-log-6-20-2008 (15-44-11).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 13040
Scan Dauer: 3 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fc9bfd44 (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\bcpgjehe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ehejgpcb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mrnfuswe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ewsufnrm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnnliiG.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Giilnnmp.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Giilnnmp.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.

Lass es bitte so lange scannen, bis es nichts mehr findet.

Hab ich gemacht, aber dann leider auf neustarten gedrückt ohne das Log-Dings zu kopieren. Ist das irgendwo gespeichert?

Unter Scan Berichte findest Du die ScanErgebnisse.

So hier isset. hat wirklich ein paar Programme gelöscht (juhuu) aber dieser komischer Ordner/Datei mljctsPF oder so im Ordner Windows/system32 ist noch da! Und Antivir zeigt mir, dass da der Trojaner drinne ist.

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 871

16:31:01 20.06.2008
mbam-log-6-20-2008 (16-31-01).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 71837
Scan Dauer: 30 minute(s), 21 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 18

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\mlJCtsPF.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\pxgdslro.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4f2194ff-4e9c-4948-a5fb-e5d7a05aab9e} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4f2194ff-4e9c-4948-a5fb-e5d7a05aab9e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljctspf (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{da3a4dc7-0360-4594-bb19-c9c1de2a2c50} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.blqd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{4f2194ff-4e9c-4948-a5fb-e5d7a05aab9e} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\pxgdslro (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029302.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJCtsPF.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\esta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vbksrofa.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mpfanvqg.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\pxgdslro.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\nldfmtappek.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mdtgkswr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gnowmebk.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Astrid\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

Da sind einige Einträge die erst nach dem Rebot gelöscht wurden.
Lasse bitte Malwarebytes noch einmal scannen.

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 871

17:04:09 20.06.2008
mbam-log-6-20-2008 (17-04-09).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 71264
Scan Dauer: 17 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mlJCtsPF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Jetzt bitte ein neues HiJackThis Logfile. :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:53, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\SSCFBTN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Astrid\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {391A2CE3-5252-4630-9FEC-6065A41E14E7} - (no file)
O2 - BHO: (no name) - {4A8E089D-063C-4CB7-A88C-05A0B293AAAB} - C:\WINDOWS\system32\pmnnliiG.dll (file missing)
O2 - BHO: (no name) - {4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {E01B7F14-2CA0-45BC-A425-B1B9A5E21483} - C:\WINDOWS\system32\qoMdCTJD.dll (file missing)
O2 - BHO: (no name) - {F65C3ACB-3F51-4091-9110-0BA09B257FCA} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: pvnsmfor - {755F70ED-8112-4AEA-B77B-E11296C79DA7} - C:\WINDOWS\pvnsmfor.dll (file missing)
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SSCFBTN.EXE] SSCFBTN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: mlJCtsPF - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5784 bytes

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {391A2CE3-5252-4630-9FEC-6065A41E14E7} - (no file)
O2 - BHO: (no name) - {4A8E089D-063C-4CB7-A88C-05A0B293AAAB} - C:\WINDOWS\system32\pmnnliiG.dll (file missing)
O2 - BHO: (no name) - {4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E} - (no file)
O2 - BHO: (no name) - {E01B7F14-2CA0-45BC-A425-B1B9A5E21483} - C:\WINDOWS\system32\qoMdCTJD.dll (file missing)
O2 - BHO: (no name) - {F65C3ACB-3F51-4091-9110-0BA09B257FCA} - (no file)
O3 - Toolbar: pvnsmfor - {755F70ED-8112-4AEA-B77B-E11296C79DA7} - C:\WINDOWS\pvnsmfor.dll (file missing)
O20 - Winlogon Notify: mlJCtsPF - C:\WINDOWS\

(file missing)dann Klicke Fix Checked. Schließe HiJackThis.

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen wieder zurück sie sind nicht ganz alltagstauglich. :)

ahhh 14 Funde :( War jetzt alles umsonst?

Zitat:

Zitat von Femme (Beitrag 347737)

( War jetzt alles umsonst?

Poste doch mal das Log :)

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 20. Juni 2008 17:28

Es wird nach 1349090 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ASTRID-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 15.04.2008 04:33:19
AVSCAN.DLL : 8.1.1.0 57601 Bytes 15.04.2008 04:33:19
LUKE.DLL : 8.1.2.9 151809 Bytes 15.04.2008 04:33:19
LUKERES.DLL : 8.1.2.0 12545 Bytes 15.04.2008 04:33:19
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 18:54:57
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14.06.2008 19:02:03
ANTIVIR3.VDF : 7.0.4.228 243712 Bytes 20.06.2008 08:40:35
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 15.04.2008 04:33:20
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 06.06.2008 18:40:30
AESCN.DLL : 8.1.0.21 119156 Bytes 06.06.2008 18:40:25
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 09:23:16
AEPACK.DLL : 8.1.1.5 364918 Bytes 16.05.2008 09:06:46
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 23.04.2008 20:28:41
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 06.06.2008 18:40:23
AEHELP.DLL : 8.1.0.15 115063 Bytes 04.06.2008 18:26:07
AEGEN.DLL : 8.1.0.28 307572 Bytes 06.06.2008 18:40:16
AEEMU.DLL : 8.1.0.6 430451 Bytes 10.05.2008 07:11:08
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 18:40:13
AVWINLL.DLL : 1.0.0.7 14593 Bytes 15.04.2008 04:33:19
AVPREF.DLL : 8.0.0.1 25857 Bytes 15.04.2008 04:33:19
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 15.04.2008 04:33:19
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 04:33:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 15.04.2008 04:33:19
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 04:33:20
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 15.04.2008 04:33:19
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 04:33:19
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 15.04.2008 04:33:16
RCTEXT.DLL : 8.0.32.0 86273 Bytes 15.04.2008 04:33:16

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 20. Juni 2008 17:28

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '34563' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Sscfbtn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '29' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP43\A0023409.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ENI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcf89.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP43\A0023512.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ENC
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcf8e.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029531.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfb2.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029533.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfb4.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029541.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfb6.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029542.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfb8.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029543.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfba.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029544.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfbb.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029545.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfbd.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029546.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfc0.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029547.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f5e2f9.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029555.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfc2.qua' verschoben!
C:\System Volume Information\_restore{0A0005FB-F5DA-4494-8688-860360C37EC5}\RP47\A0029649.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488bcfc3.qua' verschoben!
C:\WINDOWS\epfg.exe
[FUND] Ist das Trojanische Pferd TR/Vapsup.fft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c1d028.qua' verschoben!

Ende des Suchlaufs: Freitag, 20. Juni 2008 17:47
Benötigte Zeit: 19:28 min

Der Suchlauf wurde vollständig durchgeführt.

3530 Verzeichnisse wurden überprüft
240862 Dateien wurden geprüft
14 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
14 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
240848 Dateien ohne Befall
2483 Archive wurden durchsucht
5 Warnungen
14 Hinweise
34563 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Das waren alles Funde in der Systemwiederherstellungen. Diese Dateien sind nicht aktiv, solange man sie nicht zurückspielt.

Dein System ist nun sauber, bekommst Du noch Meldungen, verhält sich der Rechner anders als sonst?
`
Wenn nicht, viel Spaß im Netz. :)

Wie jetzt?
Ne nur beim Scan bekam ich halt Hinweise auf diese Funde da. Die sind doch noch in der Quarantäne, was damit tun?

Und wie Antivir danach zurückstellen?

Die Funde in der Quarantäne kannst Du löschen.

Zurückstellen solltest Du die Heuristikstufe, auf mittel statt auf hoch. Sonst kommen ggf. zuviele Fehlermeldungen.

Ja dann haben wir es wohl endlich geschafft^^
Alles wieder eingestellt und so. Soll ich hiJackThis und so jetzt löschen oder drauf lassen?

ciao ciao

HiJackThis kannst Du drauflassen hier ändert sich nicht so viel. Wenn es Platzmäßig aber stört, deinstalliere es. :)

Ja dann sag ich mal wohl
vielen herzlichen Dank!

:)