Vitumonde - wer kann mir helfen?

**otty19** · 2008-10-25, 17:20

Hallo zusammen,

erstmal ein grosses Lob an die Entwickler von Spybot.Tolles Programm und dazu noch umsonst!
Hier nun mein Problem: kürzlich wurde mein PC mit dem Virtumonde Trojaner infiziert und diesen werde ich nun nicht los. Spybot findet jedesmal wieder zwei Virtumonde-Einträge in der Registry. Sie wird von Antivir als Trojaner identifiziert, von Spybot jedoch nicht. Es ist unmöglich die Datei zu löschen, da sie anscheinend immer verwendet wird, sowohl im normalen als auch im abgesicherten Modus. Sie trägt sich in der Registry unter "Winlogon" ein. Dort kann man sie zwar löschen, jedoch hilft das auch nichts, nach dem nächsten Systemstart ist sie wieder da. Sie hat schon zahlreiche "Ableger" in der Registry und in system32 produziert, die ich aber immer wieder löschen konnte.

Ich habe schon gesehen dass es noch andere Threads zu Virtumonde gibt. Habe deshalb schon mal das combo-fix drüber laufen lassen. Im Anhang habe ich das log mal angehängt (hoffe das war nicht falsch).

Ich wäre sehr dankbar für eine Anleitung, wie ich Virtumonde bzw. diese .dll endgültig loswerden könnte.

Hier das log:

ComboFix 08-10-24.02 - Otty 2008-10-25 16:34:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.295 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Otty\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Otty\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMc35a6b1b.txt
C:\WINDOWS\BMc35a6b1b.xml
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\binrkgpd.dll
C:\WINDOWS\system32\dacbjddu.dll
C:\WINDOWS\system32\dfynpebx.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\dyxxuriu.ini
C:\WINDOWS\system32\fwwuwxft.exe
C:\WINDOWS\system32\gEWNeEVm.dll
C:\WINDOWS\system32\gwimhp.dll
C:\WINDOWS\system32\hycpgtbr.dll
C:\WINDOWS\system32\ibshwoph.exe
C:\WINDOWS\system32\iqbhrb.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mmismecr.dll
C:\WINDOWS\system32\mVEeNWEg.ini
C:\WINDOWS\system32\mVEeNWEg.ini2
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oUBJPXyb.ini
C:\WINDOWS\system32\oUBJPXyb.ini2
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\polynet.dll
C:\WINDOWS\system32\qatypsbh.exe
C:\WINDOWS\system32\rbtgpcyh.ini
C:\WINDOWS\system32\uddjbcad.ini
C:\WINDOWS\system32\uiruxxyd.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xbepnyfd.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-09-25 bis 2008-10-25 ))))))))))))))))))))))))))))))
.

2008-10-16 21:30 . 2008-10-16 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\CyberLink
2008-10-16 21:29 . 2003-04-23 18:29 221,215 --------- C:\WINDOWS\system32\Divxdec.ax
2008-10-16 21:28 . 2008-10-16 21:28 <DIR> d-------- C:\Programme\CyberLink
2008-10-16 21:09 . 2008-10-16 21:09 0 --a------ C:\WINDOWS\iPlayer.INI
2008-10-16 21:06 . 2008-10-16 21:06 <DIR> d-------- C:\Program Files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 13:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-16 19:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-21 13:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-21 10:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-20 19:03 --------- d-----w C:\Programme\WLAN Monitor
2008-09-14 17:20 --------- d-----w C:\Programme\XP-Clean Express
2008-09-14 15:57 115,200 ----a-w C:\WINDOWS\system32\gnitsa.dll
2008-09-14 15:57 115,200 ----a-w C:\WINDOWS\system32\efpvuqae.dll
2008-09-08 20:25 115,200 ----a-w C:\WINDOWS\system32\uiyupq.dll
2008-09-08 20:25 115,200 ----a-w C:\WINDOWS\system32\eqroexsf.dll
2008-09-07 13:14 --------- d-----w C:\Programme\Java
2008-08-29 21:22 104,960 ----a-w C:\WINDOWS\system32\uiafgq.dll
2008-08-29 21:22 104,960 ----a-w C:\WINDOWS\system32\qmlbgdgq.dll
2008-08-12 20:40 48,640 ------w C:\WINDOWS\system32\cbXRkJaY.dll
2007-08-24 12:33 73,880 ----a-w C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57DF73C0-833C-48B7-9146-1E18930D57FF}]
2008-08-12 22:40 48640 --------- C:\WINDOWS\system32\cbXRkJaY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Otty\Startmen\Programme\Autostart\
Cyber-shot Viewer-Medien-Prfung.lnk.disabled [2007-01-03 1916]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk.disabled [2008-09-20 2319]
Adobe Gamma.lnk.disabled [2007-12-22 1011]
AutoCAD-Startbeschleuniger.lnk.disabled [2007-02-03 2006]
Microsoft Office.lnk.disabled [2007-06-03 1723]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{57DF73C0-833C-48B7-9146-1E18930D57FF}"= "C:\WINDOWS\system32\cbXRkJaY.dll" [2008-08-12 48640]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXRkJaY]
2008-08-12 22:40 48640 C:\WINDOWS\system32\cbXRkJaY.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=gnitsa.dll iqbhrb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll
"VIDC.IV41"= ir41_32.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe"
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"c0695887"=rundll32.exe "C:\WINDOWS\system32\dacbjddu.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Logitech Utility"=Logi_MwX.Exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" -autostart

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 22:50]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{3EA01A6A-95D0-4F06-BF60-16B3CC6917E8} - C:\WINDOWS\system32\gEWNeEVm.dll
BHO-{65d07ec2-e370-41a6-a558-7addeb616524} - C:\WINDOWS\system32\iqbhrb.dll
BHO-{C0FE8729-EF67-42DC-B9FE-3204C28D8AF4} - (no file)

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\Mozilla\Firefox\Profiles\ab1yf2mn.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 16:44:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\cbXRkJaY.dll

Prozess: C:\WINDOWS\Explorer.EXE
-> C:\WINDOWS\system32\cbXRkJaY.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Microsoft ActiveSync\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-25 17:01:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-25 15:01:08

Vor Suchlauf: 13 Verzeichnis(se), 30.477.627.392 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 30,449,938,432 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=RSXKEY /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=RSXKEY-BAK

187 --- E O F --- 2007-08-31 21:13:22

**raman** · 2008-10-25, 20:26

Hallo Otty19,

Ich gehe davon aus, das du dein Antivir regelmaessig, also min. einmal taeglich, aktualisierst!?

Mache bitte folgendes:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

http://forums.spybot.info/showthread.php?p=246776

collect::
C:\WINDOWS\system32\gnitsa.dll
C:\WINDOWS\system32\efpvuqae.dll
C:\WINDOWS\system32\uiyupq.dll
C:\WINDOWS\system32\eqroexsf.dll
C:\WINDOWS\system32\uiafgq.dll
C:\WINDOWS\system32\qmlbgdgq.dll
C:\WINDOWS\system32\cbXRkJaY.dll

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

**otty19** · 2008-10-31, 00:07

danke für die super-schnelle antwort, raman.
Sorry, dass ich erst jetzt poste. war beruflich unterwegs.
also, ich bin deiner anleitung gefolgt. es wollte sich dann ne neue combo-fix version installieren, was aus unerfindlichen gründe fehlgeschlagen ist. alles andere lief weiter. ich poste jetzt mal die log-Datei, die allerdings nicht combofix.txt heisst, sondern log.txt, was ich jetzt mal der nicht aktuellen version zuschreibe. also hier nun der inhalt:

ComboFix 08-10-30.09 - Otty 2008-10-30 23:26:11.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.239 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Otty\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Otty\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cbXRkJaY.dll
C:\WINDOWS\system32\efpvuqae.dll
C:\WINDOWS\system32\eqroexsf.dll
C:\WINDOWS\system32\gnitsa.dll
C:\WINDOWS\system32\qmlbgdgq.dll
C:\WINDOWS\system32\uiafgq.dll
C:\WINDOWS\system32\uiyupq.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-30 ))))))))))))))))))))))))))))))
.

2008-10-16 20:30 . 2008-10-16 20:30 <DIR> d-------- C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\CyberLink
2008-10-16 20:29 . 2003-04-23 17:29 221,215 --------- C:\WINDOWS\system32\Divxdec.ax
2008-10-16 20:28 . 2008-10-16 20:28 <DIR> d-------- C:\Programme\CyberLink
2008-10-16 20:09 . 2008-10-16 20:09 0 --a------ C:\WINDOWS\iPlayer.INI
2008-10-16 20:06 . 2008-10-16 20:06 <DIR> d-------- C:\Program Files
2008-09-14 16:57 . 2008-09-18 20:53 1,674 ---hs---- C:\WINDOWS\system32\ykuojnli.ini
2008-09-13 10:30 . 2008-09-14 16:56 1,374 ---hs---- C:\WINDOWS\system32\uhummidl.ini
2008-09-08 21:28 . 2008-09-13 10:26 1,194 ---hs---- C:\WINDOWS\system32\vomjcwbv.ini
2008-09-07 16:10 . 2008-09-08 21:20 954 ---hs---- C:\WINDOWS\system32\dawswdub.ini
2008-09-06 08:59 . 2008-09-07 15:26 834 ---hs---- C:\WINDOWS\system32\ltfdvwcg.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 13:56 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-16 19:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-21 13:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-21 10:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-20 19:03 --------- d-----w C:\Programme\WLAN Monitor
2008-09-14 17:20 --------- d-----w C:\Programme\XP-Clean Express
2008-09-07 13:14 --------- d-----w C:\Programme\Java
2007-08-24 12:33 73,880 ----a-w C:\Dokumente und Einstellungen\Otty\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-10-25_16.58.45.10 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 163,328 ----a-w C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 06:00:00 28,672 ----a-w C:\WINDOWS\NIRCMD.exe
+ 2000-08-31 07:00:00 28,672 ----a-w C:\WINDOWS\NIRCMD.exe
- 2000-08-31 06:00:00 161,792 ----a-w C:\WINDOWS\SWREG.exe
+ 2000-08-31 07:00:00 161,792 ----a-w C:\WINDOWS\SWREG.exe
- 2008-07-18 23:01:51 75,392 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-10-30 21:11:54 75,392 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-07-18 23:01:51 62,678 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-10-30 21:11:54 62,678 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-18 23:01:51 416,044 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-10-30 21:11:54 416,044 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-07-18 23:01:51 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-10-30 21:11:54 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]

C:\Dokumente und Einstellungen\Otty\Startmen\Programme\Autostart\
Cyber-shot Viewer-Medien-Prfung.lnk.disabled [2007-01-03 1916]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk.disabled [2008-09-20 2319]
Adobe Gamma.lnk.disabled [2007-12-22 1011]
AutoCAD-Startbeschleuniger.lnk.disabled [2007-02-03 2006]
Microsoft Office.lnk.disabled [2007-06-03 1723]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=gnitsa.dll iqbhrb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll
"VIDC.IV41"= ir41_32.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe"
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"c0695887"=rundll32.exe "C:\WINDOWS\system32\dacbjddu.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Logitech Utility"=Logi_MwX.Exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" -autostart

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\system32\DRIVERS\DP83815.SYS [2003-02-13 18392]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-01-19 402432]
S3 brfilt;Brother MFC-Filtertreiber;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber;C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel);C:\WINDOWS\system32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 DCamUSBConexant;MyCompany USB Camera;C:\WINDOWS\system32\DRIVERS\Usbcone.sys [ ]
S3 FA312;NETGEAR FA330/FA312/FA311-Fast Ethernet-Adaptertreiber;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 16074]
S3 PL2302;Sitecom USB to USB Network cable CN-101v2;C:\WINDOWS\system32\DRIVERS\PL2302.sys [2003-05-07 11520]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-04-16 151808]
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 21:50]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-cbXRkJaY - cbXRkJaY.dll

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 23:39:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Microsoft ActiveSync\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-30 23:53:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-30 22:52:41
ComboFix2.txt 2008-10-25 15:01:59

Vor Suchlauf: 13 Verzeichnis(se), 30.351.515.648 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 30,336,614,400 Bytes frei

154 --- E O F --- 2007-08-31 21:13:22

**raman** · 2008-10-31, 06:00

Hat das versenden der Dateien funktioniert?

ERstelle bitte einen Hijackthis Report und poste ihn...

Loesche bitte folgende Dateien:

C:\WINDOWS\system32\ykuojnli.ini
C:\WINDOWS\system32\uhummidl.ini
C:\WINDOWS\system32\vomjcwbv.ini
C:\WINDOWS\system32\dawswdub.ini
C:\WINDOWS\system32\ltfdvwcg.ini

**Spybotuserr** · 2008-11-05, 14:52

Hallo Otty19,

ich weiß nicht, ob du das gleiche Problem hast/hattest?

http://forums.spybot.info/showthread.php?t=35981

Mein Problem war auch mit Virtumonde....

Viele Grüße

Simon

**raman** · 2008-11-05, 15:10

Hier war es ein "echter" Vundo....

**otty19** · 2008-11-09, 15:13

hallo raman,

das versenden der dateien hat nicht geklappt. was mache ich falsch.eigentlich kann man doch nix falsch machen. habe dann die von dir angegeben dateien gelöscht und combofix nochmals drüber laufen lassen. so sieht das log.txt aus:

ComboFix 08-11-07.01 - Otty 2008-11-09 14:48:32.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.276 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Otty\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Otty\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-09 bis 2008-11-09 ))))))))))))))))))))))))))))))
.

2008-10-16 20:30 . 2008-10-16 20:30 <DIR> d-------- c:\dokumente und einstellungen\Otty\Anwendungsdaten\CyberLink
2008-10-16 20:29 . 2003-04-23 17:29 221,215 --------- c:\windows\system32\Divxdec.ax
2008-10-16 20:28 . 2008-10-16 20:28 <DIR> d-------- c:\programme\CyberLink
2008-10-16 20:09 . 2008-10-16 20:09 0 --a------ c:\windows\iPlayer.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 13:56 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-10-16 19:28 --------- d--h--w c:\programme\InstallShield Installation Information
2008-09-21 13:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-21 10:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-20 19:03 --------- d-----w c:\programme\WLAN Monitor
2008-09-14 17:20 --------- d-----w c:\programme\XP-Clean Express
2007-08-24 12:33 73,880 ----a-w c:\dokumente und einstellungen\Otty\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-10-25_16.58.45.10 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 06:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2008-07-18 23:01:51 75,392 ----a-w c:\windows\system32\perfc007.dat
+ 2008-10-30 21:11:54 75,392 ----a-w c:\windows\system32\perfc007.dat
- 2008-07-18 23:01:51 62,678 ----a-w c:\windows\system32\perfc009.dat
+ 2008-10-30 21:11:54 62,678 ----a-w c:\windows\system32\perfc009.dat
- 2008-07-18 23:01:51 416,044 ----a-w c:\windows\system32\perfh007.dat
+ 2008-10-30 21:11:54 416,044 ----a-w c:\windows\system32\perfh007.dat
- 2008-07-18 23:01:51 401,398 ----a-w c:\windows\system32\perfh009.dat
+ 2008-10-30 21:11:54 401,398 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

c:\dokumente und einstellungen\Otty\Startmen\Programme\Autostart\
Cyber-shot Viewer-Medien-Prfung.lnk.disabled [2007-01-03 1916]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk.disabled [2008-09-20 2319]
Adobe Gamma.lnk.disabled [2007-12-22 1011]
AutoCAD-Startbeschleuniger.lnk.disabled [2007-02-03 2006]
Microsoft Office.lnk.disabled [2007-06-03 1723]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=gnitsa.dll iqbhrb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"VIDC.JPEG"= jpegCode.dll
"VIDC.MJPG"= jpegCode.dll
"VIDC.IV41"= ir41_32.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="c:\progra~1\MICROS~3\wcescomm.exe"
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"c0695887"=rundll32.exe "c:\windows\system32\dacbjddu.dll",b
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Logitech Utility"=Logi_MwX.Exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe"
"WinampAgent"=c:\programme\Winamp\winampa.exe
"wlconfig"="c:\programme\WLAN Monitor\wlconfig.exe" -autostart

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 accsvc;AccSys WiFi Component;c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 147456]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\DRIVERS\DP83815.SYS [2003-02-13 18392]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;c:\windows\system32\DRIVERS\WlanUZXP.sys [2006-01-19 402432]
S3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 DCamUSBConexant;MyCompany USB Camera;c:\windows\system32\DRIVERS\Usbcone.sys [ ]
S3 FA312;NETGEAR FA330/FA312/FA311-Fast Ethernet-Adaptertreiber;c:\windows\system32\DRIVERS\FA312nd5.sys [2001-08-17 16074]
S3 PL2302;Sitecom USB to USB Network cable CN-101v2;c:\windows\system32\DRIVERS\PL2302.sys [2003-05-07 11520]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\DRIVERS\RTL8180.SYS [2003-04-16 151808]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-17 21:50]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-09 14:53:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-09 15:01:49
ComboFix-quarantined-files.txt 2008-11-09 14:00:49
ComboFix2.txt 2008-10-30 22:53:30
ComboFix3.txt 2008-10-25 15:01:59

Vor Suchlauf: 12 Verzeichnis(se), 30.303.895.552 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 30,290,448,384 Bytes frei

126 --- E O F --- 2007-08-31 21:13:22

**raman** · 2008-11-09, 15:19

Es ist zwar schade, das das versenden nicht funktionjiert hat, aber auch kein "Beinbruch". Dein Rechner sieht soweit sauber aus, es sind nur noch ein paar kleine Dinge zu erledigen:

Erstelle ein Hijackthis-report:

Download: http://www.trendsecure.com/portal/en...HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Gebe unter STart/Ausfuehren
Combofix /u
ein und druecke enter

**otty19** · 2008-11-09, 15:30

Hier der Hijackthis-report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:23, on 09.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-chache.fh-trier.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk.disabled
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk.disabled
O4 - Global Startup: Adobe Gamma.lnk.disabled
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1187900092656
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O20 - AppInit_DLLs: gnitsa.dll iqbhrb.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7109 bytes

**raman** · 2008-11-09, 15:43

Deaktiviere den Teatimer und hake bei Hijackthis folgende Dinge an und druecke fix checked:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
O20 - AppInit_DLLs: gnitsa.dll iqbhrb.dll

Starte neu und schaue, ob alle Eintraege verschwunden sind.

Du sollterst dir ueber www.windowsupdate.com alle wichtigen Updates installieren. Wiederhole das so lange, bis dir keine ichtigen Updates mehr angeboten werden.

Auch solltest du nach neueren Treibern fuer deine Hardware suchen. Besonders fuers Motherboard(Chipsatz) und deine Grafikkarte....

Thread: Vitumonde - wer kann mir helfen?

Thread Tools

Display

Vitumonde - wer kann mir helfen?

Posting Permissions