Starker Virenbefall - 38 Funde!!!
 

Ich habe ein großes Problem:
Bis eben gerade hatte ich den nervigen "AntiVirus 2009" auf dem Rechner. Hier im Forum habe ich Hilfe gefunden den "AV09" zu entfernen (was meines erachtens nach geklappt hat). Da ich als Frau nicht wirklich Ahnung von PCs habe, hoffe ich hier auf Hilfe!
Ich war für 5 Monate im Ausland, als ich wieder hier war, hat mein Freund auf irgendwelchen Seiten ziemlich viele Viren, Trojaner, etc. eingesammelt.
Mein AntiVir kann diese leider nicht bewältigen (vermute ich zumindest).
Löschen möchte ich sie nicht manuell, da ich nicht weiß, welche Dateien für das System wichtig sind.
Wenn ich jetzt mit AntiVir einen Scan durchführe kommt die meldung das 38 Funde gemacht wurden.
Kann ich diese Dateien irgendwie entfernen? Richtig arbeiten kann ich mit dem PC derzeit nicht, desweiteren habe ich die Bedenken, dass noch weitere Viren drauf gelangen können!
Ich habe Windows XP (falls ihr das wissen müsst).

Ich hoffe Ihr könnt mir weiter helfen?!
Würde mich freuen und wäre sehr dankbar!!

Hier der AntiVir Bericht:

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.8.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.8.2008 16:16:20
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.8.2008 16:16:20
LUKE.DLL : 8.1.4.5 164097 Bytes 17.8.2008 16:16:22
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.8.2008 16:16:22
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 22:22:06
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 21:57:48
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.9.2008 17:08:05
ANTIVIR3.VDF : 7.0.6.161 67072 Bytes 15.9.2008 17:08:05
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 16.4.2008 12:16:52
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 15.9.2008 17:08:13
AESCN.DLL : 8.1.0.23 119156 Bytes 17.8.2008 16:16:26
AERDL.DLL : 8.1.1.1 397683 Bytes 15.9.2008 17:08:12
AEPACK.DLL : 8.1.2.1 364917 Bytes 17.8.2008 16:16:26
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 15.9.2008 17:08:11
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 15.9.2008 17:08:10
AEHELP.DLL : 8.1.0.15 115063 Bytes 5.6.2008 19:36:02
AEGEN.DLL : 8.1.0.36 315764 Bytes 15.9.2008 17:08:07
AEEMU.DLL : 8.1.0.7 430452 Bytes 17.8.2008 16:16:25
AECORE.DLL : 8.1.1.11 172406 Bytes 15.9.2008 17:08:06
AEBB.DLL : 8.1.0.1 53617 Bytes 17.8.2008 16:16:24
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.8.2008 16:16:20
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.8.2008 16:16:20
AVREP.DLL : 8.0.0.2 98344 Bytes 17.8.2008 16:16:24
AVREG.DLL : 8.0.0.1 33537 Bytes 17.8.2008 16:16:20
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.4.2008 12:16:48
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.8.2008 16:16:19
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.4.2008 12:16:50
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.8.2008 16:16:23
NETNT.DLL : 8.0.0.1 7937 Bytes 16.4.2008 12:16:50
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.8.2008 16:16:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.8.2008 16:16:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 15. September 2008 21:09

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '22' Prozesse mit '22' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\pmnKDWmL.dll
[FUND] Ist das Trojanische Pferd TR/Inject.24064
[HINWEIS] TR/Inject.24064:[HKEY_CLASSES_ROOT\CLSID\{FAAF4503-E52D-4B3B-9B12-D408F13AD817}\InprocServer32]:<@>=sz:pmnKDWmL.dll
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.

Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Nisha\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\538bb179-4ab9ed7e
[0] Archivtyp: ZIP
--> OP.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4906b3cd.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Nisha\Lokale Einstellungen\Temp\nos2.tmp
[0] Archivtyp: CAB SFX (self extracting)
--> \aiosw.msi
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Programme\ICQToolbar\tbuB\tbupdate.cab
[0] Archivtyp: CAB (Microsoft)
--> about.html
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063656.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.bft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febac0.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063665.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.bft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febac6.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063707.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.10795
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febad4.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063708.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.21838.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febad7.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063709.dll
[FUND] Ist das Trojanische Pferd TR/Inject.24064
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febadf.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063710.dll
[FUND] Ist das Trojanische Pferd TR/Inject.24064
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febae0.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063799.dll
[FUND] Ist das Trojanische Pferd TR/Monder.NA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febae6.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0067631.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb5c.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068174.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb73.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068209.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb77.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068222.dll
[FUND] Ist das Trojanische Pferd TR/Inject.24064
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb79.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068235.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.bft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb7c.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068236.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.bft
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb7e.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068288.dll
[FUND] Ist das Trojanische Pferd TR/Monder.aen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb82.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068289.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb86.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068313.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb88.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0071650.dll
[FUND] Ist das Trojanische Pferd TR/Monderc.103424.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb98.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072294.dll
[FUND] Ist das Trojanische Pferd TR/Monderc.81408
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febba9.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072372.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb2.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072373.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb4.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072374.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb5.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072375.dll
[FUND] Ist das Trojanische Pferd TR/Monder.aeo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb7.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072376.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb9.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072377.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbba.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072378.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbbc.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072379.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbbe.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072380.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc0.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072381.dll
[FUND] Ist das Trojanische Pferd TR/Monderc.103424.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc2.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072382.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc4.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072383.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc6.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072384.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc8.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072385.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc9.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072453.dll
[FUND] Ist das Trojanische Pferd TR/Monderc.90624.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbcc.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP285\A0072549.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.QA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbd1.qua' verschoben!
C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP285\A0072922.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.QA
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\pmnKDWmL.dll
[FUND] Ist das Trojanische Pferd TR/Inject.24064
[HINWEIS] TR/Inject.24064:[HKEY_CLASSES_ROOT\CLSID\{FAAF4503-E52D-4B3B-9B12-D408F13AD817}\InprocServer32]:<@>=sz:pmnKDWmL.dll
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[WARNUNG] Fehler in der ARK Lib
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.


Ende des Suchlaufs: Montag, 15. September 2008 21:59
Benötigte Zeit: 50:34 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6182 Verzeichnisse wurden überprüft
234483 Dateien wurden geprüft
38 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
35 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
234443 Dateien ohne Befall
7722 Archive wurden durchsucht
6 Warnungen
38 Hinweise

Lieben Gruß Nisha

Hi,

arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Vielen Dank schon einmal für deine Anwort, habe es jetzt mal so durchgeführt. Hoffe es war alles soweit richtig... hier jetzt der Bericht:


ComboFix 08-09-15.02 - Nisha 2008-09-17 0:11:46.2 - NTFSx86
Microsoft Windows XP Home Edition
ausgeführt von:: C:\Dokumente und Einstellungen\Nisha\Desktop\ComboFix.exe
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Nisha\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
C:\Programme\Antivirus 2009
C:\WINDOWS\BM0b12683b.txt
C:\WINDOWS\BM0b12683b.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\abLmoXyb.ini
C:\WINDOWS\system32\abLmoXyb.ini2
C:\WINDOWS\system32\begeygjn.ini
C:\WINDOWS\system32\bneissas.ini
C:\WINDOWS\system32\boecxnqd.ini
C:\WINDOWS\system32\byXomLba.dll
C:\WINDOWS\system32\clmyphoa.exe
C:\WINDOWS\system32\ebobtqdo.ini
C:\WINDOWS\system32\etonqlga.ini
C:\WINDOWS\system32\fbwskosi.dll
C:\WINDOWS\system32\fruekgvj.ini
C:\WINDOWS\system32\hdwqlfus.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mhcmrael.ini
C:\WINDOWS\system32\pmnKDWmL.dll
C:\WINDOWS\system32\sassienb.dll
C:\WINDOWS\system32\vagcytro.dll
C:\WINDOWS\system32\vwyqraun.exe
C:\WINDOWS\system32\vybnwlit.ini
C:\WINDOWS\system32\xcebbkkl.dll
C:\WINDOWS\system32\yankvqnd.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-16 bis 2008-09-16 ))))))))))))))))))))))))))))))
.

2008-09-16 23:53 . 2008-09-16 23:53 1,917 --a------ C:\WINDOWS\imsins.BAK
2008-09-16 23:27 . 2008-09-16 23:27 <DIR> d-------- C:\Programme\CCleaner
2008-09-15 21:06 . 2008-09-15 21:05 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-09-15 21:05 . 2008-09-15 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\Nisha\.housecall6.6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 20:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-13 23:30 --------- d-----w C:\Programme\ICQ6Toolbar
2008-09-13 23:30 --------- d-----w C:\Programme\ICQ6
2008-09-13 23:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-13 23:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-08-05 18:25 --------- d-----w C:\Dokumente und Einstellungen\Nisha\Anwendungsdaten\ICQ
2008-04-08 13:54 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-08-10 13:03 6,275,816 ----a-w C:\Programme\mozilla firefox\plugins\ScorchPDFWrapper.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-17 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-02 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave2"= AvmSnd.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Oftice

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2004-06-24 04:28 7932416 C:\Programme\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2003-04-02 14:00 13312 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 16:08 1511453 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-01 04:48 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
-ra------ 2004-01-15 14:33 49152 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows ARP Detectionc]
--a------ 2003-04-02 14:00 521728 C:\WINDOWS\system32\winlogon.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-16 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-08-17 45376]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2002-05-08 37568]
S3 asbp2poa;asbp2poa;C:\DOKUME~1\Nisha\LOKALE~1\Temp\asbp2poa.sys [ ]
S3 BFUBASE;BlueFRITZ! USB (WinXP/2000);C:\WINDOWS\System32\DRIVERS\bfubase.sys [2002-05-08 791120]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [ ]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-01-24 52384]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\System32\DRIVERS\ss_mdfl.sys [2005-01-24 6064]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\System32\DRIVERS\ss_mdm.sys [2005-01-24 84512]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{21cc6552-7de8-46e0-945f-6e22e8dd6f43} - (no file)
BHO-{3203CDD7-C2A6-4F52-8D87-8B35BED3FF6B} - C:\WINDOWS\System32\byXomLba.dll
HKCU-Run-PowerBar - (no file)
HKLM-Run-BM0b12683b - C:\WINDOWS\System32\yankvqnd.dll
HKU-Default-Run-Microsoft Oftice - C:\WINDOWS\System32\msmsgs.exe
MSConfigStartUp-08215ba7 - C:\WINDOWS\System32\sassienb.dll
MSConfigStartUp-Adobe Photo Downloader - C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
MSConfigStartUp-BM0b12683b - C:\WINDOWS\System32\xcebbkkl.dll
MSConfigStartUp-Microsoft Windows Driver - C:\WINDOWS\rundll32.exe
MSConfigStartUp-Mr - C:\WINDOWS\rundll32.exe
MSConfigStartUp-QuickTime Task - C:\Programme\QuickTime\qttask.exe
MSConfigStartUp-Ulead AutoDetector v2 - C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Nisha\Anwendungsdaten\Mozilla\Firefox\Profiles\m8cjfwia.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 00:18:14
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 0:25:52 - PC wurde neu gestartet [Nisha]
ComboFix-quarantined-files.txt 2008-09-16 22:25:42

Pre-Run: 15 Verzeichnis(se), 23,511,916,544 Bytes frei
Post-Run: 17 Verzeichnis(se), 23,745,466,368 Bytes frei

143


hoffe man kann damit etwas anfangen... für nen neuen Rechner hätte ich zur zeit kein Geld übrig... :heulen:

Lieben Gruß Nisha

Hi,

das Log sieht soweit gut aus. :) Wie gehts dem Rechner denn jetzt?

(Selbst wenn wir den Rechner nicht bereinigen können, brauchst du keinen neuen kaufen, sondern kannst neuaufsetzen und damit einen sauberen Rechner erhalten.)

lg myrtille

Hey...ja danke! er läuft auch wieder ohne probleme...keine meldung mehr...und schneller als vorher! :Boogie: vielen lieben dank für deine hilfe!!

ein problem ist doch noch...mein brenner will nicht mehr...er sagt es befindet sich keine cd im laufwerk...hab schon einige rohlinge ausprobiert...aber es hilft nix...sollte ich den treiber neu laden?

Hi,

Was genau ist denn das Problem? Funktioniert das Laufwerk ohne Brenner noch?

lg myrtille

Hi,
also, wenn ich cds einlege kann ich sie auch öffnen, die läd er ohne Probleme.
Nur wenn ich jetzt zum Beispiel meine ganzen Fotos auf cd brennen möchte kommt immer die meldung :

Es befindet sich kein Datenträger im Laufwerk.
Legen Sie eine beschreibbare Cd in Laufwerk D:\ ein.

wenn ich über Nero eine Daten Disk erstellen will kommt folgende Meldung:

Fehler beim Schreiben der Multisession-Infodatei.
und:
Keine Datendisk im Laufwerk.

Wenn ich vom Handy Musik auf den Rechner speicher und die dann brennen möchte sagt er dass er dies macht. Wandelt die mp3 Dateien dann aber in cda Dateien um und ich kann die Cd danach nicht abspielen, nicht einmal auf dem Rechner.

Also Brennen geht gar nicht mehr, ich kann nur noch CDs abspielen...:headbang: